Ataques FROST: Sites Podem Monitorar Usuários Analisando a Atividade do SSD
Pesquisadores revelam uma nova técnica que permite que sites rastreiem atividades do usuário, como abas abertas e aplicativos em execução, através da análise da atividade do SSD. A técnica, chamada FROST, utiliza uma side-channel attack para inferir informações sensíveis, sem a necessidade de acesso direto aos dados.
MundiX News·29 de maio de 2026·3 min de leitura·👁 18 views
Pesquisadores da Universidade Técnica de Graz e da Liebherr-Transportation Systems descreveram uma nova técnica que permite que sites rastreiem abas abertas e aplicativos em execução, analisando a atividade do SSD diretamente através do navegador. O método, chamado FROST (Fingerprinting Remotely using OPFS-based SSD Timing), não requer nenhuma ação da vítima além de abrir um site malicioso.
FROST representa uma side-channel attack, onde, em vez de acesso direto à informação, são analisados sinais indiretos: atrasos, cache, sinais eletromagnéticos, tempo de execução de operações, etc. Neste caso, os pesquisadores se concentraram nos SSDs e na medição de atrasos durante operações de entrada e saída. A ideia por trás do FROST é simples: vários processos competem pelo mesmo recurso, e o invasor mede os atrasos que surgem como resultado disso. Os pesquisadores demonstraram que, pela atividade do SSD, é possível determinar quais sites estão abertos pelo usuário em outras abas (e até em outros navegadores), bem como quais aplicativos estão em execução no dispositivo.
Os autores do estudo observam que os navegadores modernos há muito se tornaram plataformas completas para executar aplicativos complexos. IDEs, suítes de escritório, editores de fotos e vídeos agora funcionam no navegador. Mas, juntamente com novas oportunidades, a superfície de ataque também está crescendo. A demonstração do ataque foi realizada em um MacBook com chip M2. No Linux, eles confirmaram a capacidade de trabalho do mecanismo básico de medição de atrasos do SSD via JavaScript, mas não testaram totalmente o cenário de ataque. Máquinas rodando Windows não foram estudadas pelos especialistas.
FROST funciona totalmente através do navegador e usa JavaScript e OPFS (Origin Private File System) — um espaço de arquivo isolado que os sites podem criar para armazenar dados e realizar tarefas. Embora o OPFS seja isolado de outros sites e do sistema, o JavaScript ainda pode medir atrasos para operações de leitura e gravação. Em seguida, os dados coletados são processados usando uma rede neural convolucional (Convolutional Neural Network, CNN) pré-treinada. Os pesquisadores explicam que um script malicioso executa constantemente a leitura de seções aleatórias de um arquivo grande no OPFS. Se o usuário estiver ativamente trabalhando com outros aplicativos ou abas nesse momento, o SSD começará a responder com diferentes atrasos. A rede neural analisa esses padrões e os compara com atividades específicas.
É enfatizado que o FROST também tem limitações. Primeiro, o ataque requer um arquivo OPFS muito grande (provavelmente, pelo menos um gigabyte). Devido a isso, ataques em larga escala podem atrair a atenção do usuário. Em segundo lugar, o OPFS deve estar no mesmo SSD onde o aplicativo monitorado está funcionando. Se o programa estiver instalado em uma unidade separada, o FROST não poderá registrar sua atividade.
Os pesquisadores acreditam que uma das maneiras mais fáceis de se proteger contra tais ataques é o hábito de fechar abas desnecessárias. Usuários mais experientes são aconselhados a monitorar o aparecimento de grandes arquivos OPFS criados por sites desconhecidos. Os autores do estudo também sugerem que os desenvolvedores de navegadores limitem o tamanho máximo desses arquivos para dificultar a exploração. Mais detalhes sobre o FROST e os aspectos técnicos do ataque serão revelados em julho, na conferência DIMVA.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da Universidade Técnica de Graz e da Liebherr-Transportation Systems descreveram uma nova técnica que permite que sites rastreiem abas abertas e aplicativos em execução, analisando a atividade do SSD diretamente através do navegador. O método, chamado FROST (Fingerprinting Remotely using OPFS-based SSD Timing), não requer nenhuma ação da vítima além de abrir um site malicioso.
FROST representa uma side-channel attack, onde, em vez de acesso direto à informação, são analisados sinais indiretos: atrasos, cache, sinais eletromagnéticos, tempo de execução de operações, etc. Neste caso, os pesquisadores se concentraram nos SSDs e na medição de atrasos durante operações de entrada e saída. A ideia por trás do FROST é simples: vários processos competem pelo mesmo recurso, e o invasor mede os atrasos que surgem como resultado disso. Os pesquisadores demonstraram que, pela atividade do SSD, é possível determinar quais sites estão abertos pelo usuário em outras abas (e até em outros navegadores), bem como quais aplicativos estão em execução no dispositivo.
Os autores do estudo observam que os navegadores modernos há muito se tornaram plataformas completas para executar aplicativos complexos. IDEs, suítes de escritório, editores de fotos e vídeos agora funcionam no navegador. Mas, juntamente com novas oportunidades, a superfície de ataque também está crescendo. A demonstração do ataque foi realizada em um MacBook com chip M2. No Linux, eles confirmaram a capacidade de trabalho do mecanismo básico de medição de atrasos do SSD via JavaScript, mas não testaram totalmente o cenário de ataque. Máquinas rodando Windows não foram estudadas pelos especialistas.
FROST funciona totalmente através do navegador e usa JavaScript e OPFS (Origin Private File System) — um espaço de arquivo isolado que os sites podem criar para armazenar dados e realizar tarefas. Embora o OPFS seja isolado de outros sites e do sistema, o JavaScript ainda pode medir atrasos para operações de leitura e gravação. Em seguida, os dados coletados são processados usando uma rede neural convolucional (Convolutional Neural Network, CNN) pré-treinada. Os pesquisadores explicam que um script malicioso executa constantemente a leitura de seções aleatórias de um arquivo grande no OPFS. Se o usuário estiver ativamente trabalhando com outros aplicativos ou abas nesse momento, o SSD começará a responder com diferentes atrasos. A rede neural analisa esses padrões e os compara com atividades específicas.
É enfatizado que o FROST também tem limitações. Primeiro, o ataque requer um arquivo OPFS muito grande (provavelmente, pelo menos um gigabyte). Devido a isso, ataques em larga escala podem atrair a atenção do usuário. Em segundo lugar, o OPFS deve estar no mesmo SSD onde o aplicativo monitorado está funcionando. Se o programa estiver instalado em uma unidade separada, o FROST não poderá registrar sua atividade.
Os pesquisadores acreditam que uma das maneiras mais fáceis de se proteger contra tais ataques é o hábito de fechar abas desnecessárias. Usuários mais experientes são aconselhados a monitorar o aparecimento de grandes arquivos OPFS criados por sites desconhecidos. Os autores do estudo também sugerem que os desenvolvedores de navegadores limitem o tamanho máximo desses arquivos para dificultar a exploração. Mais detalhes sobre o FROST e os aspectos técnicos do ataque serão revelados em julho, na conferência DIMVA.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
