Graz University of Technology’den bir ekip, tarayıcı içinde çalışan JavaScript ile SSD gecikmelerini ölçerek hangi siteleri ziyaret ettiğinizi ve hatta cihazınızda hangi uygulamaların açık olduğunu anlamayı başardı. “FROST” adı verilen yöntem, OPFS’ye (Origin Private File System) dayalı SSD zamanlamasını kullanıyor ve herhangi bir izin istemeden, yalnızca saldırgan sayfaya girmenizle çalışmaya başlıyor. Araştırmada, web sitesi tespiti için yaklaşık %88,95; uygulama tespiti içinse %95,83 F1 skoru raporlandı.
FROST nasıl çalışıyor?
OPFS, modern web uygulamalarının cihazda büyük dosyaları hızlı ve izole biçimde tutmasına izin veren bir tarayıcı depolama alanı. FROST, OPFS’nin içine sistem belleğinizden daha büyük bir dosya oluşturuyor. Böylece her 4 KB’lık rastgele okuma doğrudan SSD’ye gidiyor; OS önbelleği devre dışı kalıyor. Saldırgan sayfada çalışan kod, bu okuma sürelerindeki küçük oynamaları yüksek çözünürlüklü zamanlayıcılarla ölçüyor; ortaya çıkan zamanlama izlerini bir CNN modeline vererek açık siteleri ve uygulamaları sınıflandırıyor. Ekip, ölçüm doğruluğunu artırmak için COOP/COEP ile çapraz-kaynak izolasyonunu etkinleştirdiğini belirtiyor.
Yöntem depolama katmanındaki çekişmeyi izlediği için tarayıcılar arasında da etkili. Örneğin saldırgan sekmesi Chrome’da, kurbanın gezindiği sekme Safari’de olsa bile performans farkı düşük kalıyor.
Hangi tarayıcılar etkileniyor, sınırlar ne?
OPFS 2023’ten beri büyük masaüstü tarayıcılarında destekleniyor. Chromium tabanlı tarayıcılar ve Safari, tek bir origin’in toplam disk alanınızın yaklaşık %60’ına kadar OPFS saklama alanı ayırmasına izin veriyor; bu da 256 GB’lık bir SSD’de 150 GB’tan fazla yer anlamına geliyor. Firefox’ta varsayılan sınır origin başına %10 ya da 10 GB (hangisi küçükse). Saldırganın birden fazla origin kullanması ya da kalıcı depolama izni istemesi, bu sınırları aşabiliyor.
Araştırmacılar FROST’u sınıflandırma tarafında macOS’te (M2 tabanlı Mac mini, 8 GB RAM / 256 GB SSD) gösterdi. Linux’ta tarayıcı içinden SSD gecikmesi ölçümleri ve yüksek kapasiteli gizli kanal performansı doğrulandı; Windows üzerinde ise çalışma raporlanmadı.
Gerçek dünyada kullanımına dair bir bulgu yok; şimdilik bir araştırma prototipi olarak görülüyor. Yöntemin en büyük pratik engellerinden biri, tarayıcının çok büyük OPFS dosyaları ayırması nedeniyle boş disk alanınızın hızla düşmesi gibi kolay fark edilebilir yan etkiler. Ayrıca izleme için hedef etkinliğin aynı fiziksel SSD üzerinde olması gerekiyor.
Tarayıcı üreticilerine önerilen savunmalar arasında, kullanıcı onayı olmadan OPFS dosya boyutunu bellek içine sığacak şekilde sınırlamak, OPFS aktifken yüksek çözünürlüklü zamanlayıcılara erişimi kısıtlamak veya izin istemek gibi adımlar var. Kurumsal ortamlarda profilin tmpfs’e taşınması (ör. profile-sync-daemon) gibi çözümler, “kullanıcı etkileşimsiz” varyantı kırabiliyor.
Ne yapmalı? Kısa vadede, tarayıcı ayarlarından site depolama kullanımını düzenli temizlemek ve izinsiz büyüyen site verilerine dikkat etmek faydalı. Firefox’ta OPFS varsayılan kotasının düşük olması, saldırıyı pratikte zorlaştırabiliyor; ancak birden fazla origin üzerinden bu sınırın aşılabileceğini unutmayın. Uzun vadede kalıcı çözüm tarayıcı seviyesindeki kısıtlamalarla gelecek.
Kaynak: www.techspot.com
algı kasıyorlar windows güvenli Linux dağıtımları güvenli değil gibi…