FROST Saldırısı: Tehlike Altında Olan Kişisel Veriler
Zarar verme amacı taşıyan bir web sitesi, yalnızca JavaScript ve SSD zamanlamalarını kullanarak, ziyaret ettiğiniz siteleri ve açtığınız uygulamaları belirleyebilmektedir. Bu saldırı, FROST olarak adlandırılmakta ve herhangi bir yerel kod, eklenti veya izin istemi gerektirmemektedir.
Saldırı Nasıl Çalışıyor?
Bu saldırının arka planında yatan temel mekanizma, 2023’te tarayıcılara eklenen Origin Private File System (OPFS) adlı depolama özelliğidir. OPFS, her bir kaynağa kendi sanal dosya sistemi dilimini vermekte ve bu dilim kapalı olduğundan, sayfanın dosyalarınıza erişmesi için gerekli izin istemini atlamaktadır. Yani, kullanıcıdan herhangi bir onay gerektirilmeden, site yalnızca dosyalar yazmaya başlayabilir.
Genellikle, işletim sistemi disk zamanlamasını sayfa önbelleği arka planda gizlemekte, tekrar eden okumaları hafızadan sunmaktadır. Ancak FROST, makinenin RAM’inden daha büyük bir dosya oluşturarak bu durumdan kaçınır. Bu sayede önbellek tüm dosyayı tutamaz ve okumalar SSD üzerinde gerçekleşir. Chrome ve Safari’de OPFS diskin %60’ına kadar büyüyebilirken, Firefox her kaynağı daha düşük bir sınırda tutar, yine de bir saldırgan bu yükü birden fazla kaynak arasında dağıtarak bu sınırı aşabilir.
Saldırganın kodu, sürekli olarak o dosyanın rastgele 4 kB parçalarını okumakta ve her okumayı performance.now() ile zamanlamaktadır. Tarayıcılar, bu tür ölçümleri zorlaştırmak için zamanlayıcıları sınırlasa da, saldırgan kendi sayfasında çapraz kaynak izolasyonunu etkinleştirerek çözünürlüğü yükseltebilir. Kullanıcı, aynı sürücüde bir site açtığında ya da bir uygulama çalıştırdığında, bu durum saldırganın okumaları ile rekabet eder ve zamanlama kaydırmaları gözlemlenir.
Test sonuçları son derece rahatsız edicidir. FROST, macOS’ta, en iyi 50 web sitesine karşı kapalı bir dünyada %88.95 F1 puanı ile doğru tahmin yapabilmekte; açık dünyada ise daha önce hiç görmediği 300 site ile bu oran %86.95’e düşmektedir. Ayrıca on adet yerel, önceden yüklenmiş macOS uygulamarı için başarı oranı %95.83’tür. Bu, tarayıcı kumandasında sıkışmış bir kod için oldukça fazla veri aktarımı anlamına gelmektedir.
Etkilenen Sistemler
FROST saldırısı, hem macOS hem de Linux üzerinde işlemekte; ancak, tam sınıflandırmayı yalnızca macOS üzerinde çalıştırmışlardır. Ayrıca, bu saldırı yalnızca OPFS dosyasının bulunduğu aynı disk üzerindeki etkinlikleri algılamaktadır. Tek diskli bir dizüstü bilgisayarda tüm veriler o diskte bulunur; çok diskli bir iş istasyonunda ise hangi veri hangi diskteyse o şekilde gizlenir.
Çözüm ve Korunma
Şu an için etkili bir koruma önlemi almak oldukça sınırlıdır. Google, Mozilla ve Apple, yayın öncesinde uyarılmıştır; ancak Google’ın Chromium ekibi parmak izi almayı güvenlik açığı olarak görmemektedir. Apple, durumu kapsam dışı bırakmış olsa da ileride bir çözüm bulma ihtimali olduğunu belirtmiştir. Mozilla ise konuyu kabul etmiş fakat henüz bir önlem almayı başaramamıştır. Şu an için herhangi bir CVE mevcut değildir ve bu tekniğin gerçek dünyada kullanılmasına dair herhangi bir kanıt bulunmamaktadır.
Saldırı sırasında, tarayıcı penceresini kapatmak, okuma işlemini sonlandırmak için etkili bir yöntemdir. Tarayıcı depolamanızda açıklanmayan çok boyutlu dosyalar aramak da, şüpheli aktiviteleri belirlemenize yardımcı olabilir; fakat tarayıcılar OPFS kullanımını görüntülemeyi kolaylaştırmamaktadır. Linux’ta, profil senkronizasyonu sağlayan bir yardımcı program kullanmak, bu saldırının sıfır tıklama versiyonuna karşı koruma sağlamaktadır.
Gerçek çözümler, tarayıcı yapımcılarının elindedir ve OPFS boyutunun hafızaya sığacak şekilde sınırlandırılması, yüksek çözünürlüklü zamanlayıcıların kısıtlanması veya bir izin isteminin eklenmesi gibi adımları içermektedir. Bu çözümlerin her biri, hız veya kullanılabilirlik açısından maliyetler taşımaktadır.
Kullanıcıların web uygulamalarına donanım üzerinde neredeyse yerel erişim verilmesi, bu tür veri sızıntılarına zemin hazırlamaktadır. FROST, bu değişimin yalnızca bir örneğidir ve süregeldikçe bu tür saldırılara dair dikkatli olunmalıdır.
Sonuç
Okuyucuların, tarayıcılarını güncel tutmaları ve şüpheli web sitelerinden uzak durmaları önemlidir. Tarayıcınızda depolanan dosyaları düzenli olarak kontrol edin ve bilinmeyen çok büyük dosyalar varsa tarayıcınızı kapatın. Tarayıcı üreticilerinin alacağı önlemleri takip edin ve güncellemeleri uygulamaktan çekinmeyin. Verilerinizi korumak için her zaman dikkatli olun.
