İnternette gizlilik mücadelesi yeni bir cepheyle karşı karşıya. Siber güvenlik uzmanlarının keşfettiği FROST adlı teknik, art niyetli web sitelerinin bilgisayardaki SSD diskinin anlık çalışma hızını ölçerek kullanıcıların hangi siteleri gezdiğini veya hangi uygulamaların açık olduğunu tespit edebildiğini ortaya koydu.
Saldırının gerçekleşmesi için kullanıcının zararlı siteye girmesi yeterli; bunun dışında herhangi bir işlem yapılmasına gerek kalmıyor. Farklı tarayıcılar açık olsa bile yöntem çalışmayı sürdürüyor.
Peki bu noktaya nasıl gelindi? Günümüz tarayıcıları artık basit doküman görüntüleyicilerin çok ötesine geçmiş durumda. Bu araçlar Google, Microsoft ve Adobe gibi devlerin uygulamalarını, ofis araçlarını ve yazılım geliştirme ortamlarını çalıştıran dev birer platforma dönüştü. Hayatı kolaylaştıran bu evrim, siber saldırganlar için de yeni kapılar aralıyor.
SSD'nin ritmi ele veriyor
FROST, sistemdeki donanımların aynı anda birbirleriyle rekabet etmesi sırasında ortaya çıkan milisaniyelik gecikmeleri, yani "yan kanal" sızıntılarını ölçüyor. Farklı programlar eş zamanlı olarak SSD'ye erişmeye çalıştığında arka planda küçük bir veri trafiği çatışması baş gösteriyor.
Saldırganlar, tarayıcıda çalışan sıradan bir JavaScript kodu aracılığıyla sitelere ayrılan gizli dosya sistemine (OPFS) erişiyor. Bu sistem normalde güvenli bir ortamda izole tutuluyor; ancak kodun diske rastgele okuma emirleri göndererek oluşturduğu gecikme sürelerini ölçmesine engel olamıyor. Toplanan bu milisaniyelik veriler, önceden eğitilmiş bir yapay zeka modeline (CNN) aktarılıyor. Model, diskin o anki yüklenme örüntülerinden yola çıkarak bilgisayarda tam olarak hangi program ya da web sitesinin çalıştığını tahmin ediyor.
Yöntem, M2 işlemcili bir Mac bilgisayarda başarıyla test edildi. Linux'ta da diske erişim sürelerinin tarayıcı üzerinden ölçülebildiği doğrulandı; Windows üzerinde ise henüz deneme yapılmadı.
Tekniğin bazı sınırları da mevcut. Saldırının işe yaraması için tarayıcının diskte en az 1 gigabaytlık bir gizli dosya oluşturması gerekiyor. Bu boyuttaki bir dosya dikkatli kullanıcıların gözünden kolayca kaçmayabilir. Ayrıca izlenmek istenen uygulamaların tarayıcıyla aynı SSD üzerinde kurulu olması şart.
Şu an için bu yöntemin aktif olarak kullanıldığına dair herhangi bir kanıt yok. Uzmanlar yine de önlem olarak kullanılmayan sekmelerin kapatılmasını öneriyor. Tarayıcı üreticilerinin ilerleyen dönemde bu tür gizli dosyalara boyut sınırı getirmesiyle açığın kapanması bekleniyor.