Các nhà nghiên cứu bảo mật tại Đại học Công nghệ Graz (Áo) vừa công bố một phương thức tấn công tinh vi mang tên FROST, cho phép tin tặc lợi dụng ổ cứng thể rắn (SSD) để rình mò thói quen lướt web của nạn nhân từ xa mà không cần cài đặt mã độc gốc trên hệ thống.
Cách thức hoạt động của FROST
Khi người dùng truy cập vào một trang web chứa mã độc, lỗ hổng sẽ được kích hoạt. Mã độc FROST chiếm quyền điều khiển Hệ thống tệp riêng tư gốc (OPFS) – một API có sẵn trên hầu hết trình duyệt hiện nay – để tạo ra một phân vùng cô lập lớn trên SSD. Do SSD có hiệu suất đầu vào/đầu ra cao và độ trễ thấp, mỗi hoạt động lướt web tạo ra các đỉnh độ trễ đặc trưng riêng. Đoạn mã JavaScript độc hại sẽ đo lường các mốc thời gian này và nạp dữ liệu vào một mạng thần kinh nhân tạo tích chập (CNN).
Tỷ lệ thành công cao
Hệ thống CNN có thể nhận diện chính xác các trang web đã truy cập với tỷ lệ thành công 89% trên Windows và 96% đối với máy Mac, theo nghiên cứu. Phát hiện này đặt ra mối đe dọa nghiêm trọng đối với quyền riêng tư của người dùng, vì FROST hoạt động âm thầm mà không cần quyền truy cập đặc biệt nào.
Dấu hiệu nhận biết và biện pháp phòng vệ
Dù FROST hiện mới dừng lại ở mức thử nghiệm và chưa bị khai thác ngoài thực tế, người dùng cần nâng cao cảnh giác. Dấu hiệu dễ nhận biết nhất khi bị tấn công là ổ cứng bỗng dưng mất hàng trăm gigabyte dung lượng một cách bất thường. Để tự bảo vệ, người dùng có thể sử dụng các trình duyệt đã loại bỏ hoàn toàn API OPFS, hoặc tinh chỉnh hệ thống để luôn hiển thị hộp thoại yêu cầu cấp quyền trước khi tạo các tệp OPFS mới.
