Seitenkanalangriff im Browser: App-Spionage durch Messung von SSD-Zugriffszeiten
Durch gezielte SSD-Zugriffe und Zeitmessungen können Angreifer über eine Website mit speziellem Javascript-Code heimlich Informationen darüber auslesen, welche Anwendungen auf den Systemen der Besucher laufen. Das berichtet Ars Technica(öffnet im neuen Fenster) unter Verweis auf Untersuchungen von Forschern der Universität Graz. Der untersuchte Seitenkanalangriff trägt den Namen Frost (Fingerprinting Remotely using OPFS-based SSD Timing).
Details zu dem Angriff sind in einem 23-seitigen Paper (PDF)(öffnet im neuen Fenster) zu finden. Angreifer benötigen demnach keinen lokalen Zugriff auf ein Zielsystem. Sie müssen lediglich in der Lage sein, Javascript-Code innerhalb der Sandbox des Webbrowsers auszuführen und Daten auf die im System verbaute SSD zu schreiben.
Der Besuch einer speziell präparierten Website reicht also aus, um Nutzer gezielt auszuspionieren. Weitere Nutzerinteraktionen auf der jeweiligen Website sind nach Angaben der Forscher nicht erforderlich.
Neuronales Netz wertet Zugriffszeiten aus
Der Code des Angreifers führt laut Bericht über das File-System-API sowie das einer jeden besuchten Webseite vom Browser zur Verfügung gestellte OPFS (Origin Private File System(öffnet im neuen Fenster)) Schreib- und Leseoperationen auf der SSD des Zielsystems aus. Normalerweise ist das OPFS von anderen Anwendungen, Webseiten und dem Rest des lokalen Systems isoliert.
Durch Messungen der Zeit, die das System für die Verarbeitung der Leseoperationen benötigt, lassen sich dem Bericht zufolge jedoch Rückschlüsse darauf ziehen, welche Webseiten und Apps der jeweilige Besucher nebenbei geöffnet hat. Die Auswertung erfolgt dabei über ein speziell für diesen Zweck entwickeltes neuronales Netz (CNN Convolutional Neural Network(öffnet im neuen Fenster)).
Getestet haben die Forscher ihren Angriff nur unter MacOS und Linux. Die Trefferquote liegt zwar nicht bei 100 Prozent, ist angesichts der Methodik aber dennoch beachtlich. Im Hintergrund geöffnete Webseiten konnten die Forscher bei ihren Tests mit einer Wahrscheinlichkeit von 88,95 Prozent, andere ausgeführte Anwendungen sogar mit einer Wahrscheinlichkeit von 95,83 Prozent korrekt identifizieren.
Limitierungen bei Frost-Attacken
Darüber hinaus gibt es bei dem Frost-Angriff noch ein paar Einschränkungen. Laut Ars Technica werden Dateien mit einer Größe von mehreren Gigabytes benötigt. Den Forschern zufolge ist das aber keine große Herausforderung, da Chromium und Safari im OPFS abgelegten Dateien bis zu 60 Prozent des verfügbaren Speicherplatzes zugestehen. Bei Firefox liegt die Obergrenze bei ebenfalls ausreichenden zehn Prozent respektive maximal 10 GByte pro Website.
Eine weitere Einschränkung bezieht sich auf den jeweils anvisierten Datenträger. Mit Frost lassen sich nur Webseiten und Anwendungen erkennen, die auf der gleichen SSD operieren wie der Browser, in dem der Code des Angreifers ausgeführt wird. In den meisten Fällen operieren aber ohnehin alle Anwendungen auf einem gemeinsamen Systemlaufwerk, so dass auch diese Bedingung oftmals erfüllt ist.
Für Browserhersteller liefern die Forscher in ihrem Paper einige Hinweise darauf, wie sich Frost-Angriffe eindämmen lassen. Dabei werden unter anderem geringere Größenlimits sowie Berechtigungsanfragen ins Spiel gebracht, durch die Anwender mehr Kontrolle über OPFS-Aktivitäten erhalten. Hinweise darauf, dass Frost bereits von böswilligen Akteuren ausgenutzt wird, gibt es bisher wohl nicht.
- Anzeige Hier geht es zur Samsung SSD 980 Pro bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.