Pesquisadores identificaram uma nova técnica de rastreamento online capaz de monitorar a atividade de usuários por meio de interações com discos de estado sólido (SSD). A técnica, chamada FROST, não exige qualquer ação além da abertura de uma página na web.
O método explora um canal lateral de contenção para inferir quais sites estão abertos em abas do navegador ou quais aplicativos estão em execução no dispositivo. A descoberta foi detalhada em artigo científico e reportada pelo portal Wired.
O ataque utiliza JavaScript para interagir com o OPFS, um espaço de armazenamento isolado que navegadores modernos alocam para sites executarem tarefas. Embora o sistema seja confinado, o código consegue medir o tempo das operações de entrada e saída no SSD do usuário.
Leituras aleatórias contínuas de um arquivo OPFS de grande tamanho geram latências mensuráveis. Esses padrões de temporização são analisados por uma rede neural convolucional, que classifica as informações para deduzir quais aplicativos e sites estão em uso.
A técnica possui limitações que podem dificultar sua aplicação em larga escala. O arquivo OPFS precisa ter pelo menos um gigabyte, o que pode levantar suspeitas devido ao consumo repentino de espaço em disco.
Outra restrição é a necessidade de o arquivo estar armazenado no mesmo SSD utilizado pelo navegador. Caso os aplicativos estejam em uma unidade separada, a técnica não consegue detectá-los, reduzindo sua eficácia em sistemas com múltiplos discos.
Os pesquisadores testaram o ataque em um Mac M2 e confirmaram que o método também funciona em Linux. Hannes Weissteiner, um dos coautores do estudo, afirmou que a performance deve ser similar entre os sistemas operacionais.
Entre as medidas de proteção sugeridas, fechar abas não utilizadas é a mais simples para usuários comuns. Usuários avançados podem monitorar a criação de arquivos OPFS suspeitos para identificar possíveis ameaças.
Os autores recomendam que desenvolvedores de navegadores implementem limites de tamanho para arquivos OPFS. A pesquisa será apresentada na conferência DIMVA em julho, com mais detalhes sobre a ameaça à privacidade digital.
? Inscreva-se na Newsletter de O Cafezinho
Receba nossas análises e as principais notícias diárias do Brasil e do Sul Global.
Nenhum comentário ainda, seja o primeiro!