Security Week 2623: Espionagem de Usuários via SSD Revelada
Pesquisadores austríacos desenvolveram um método inovador para rastrear a atividade do usuário através de SSDs, explorando as características de desempenho do armazenamento e a tecnologia OPFS em navegadores. A técnica, chamada FROST, permite a detecção de sites e aplicativos visitados com alta precisão, levantando novas preocupações sobre privacidade.
MundiX News·02 de junho de 2026·5 min de leitura·👁 6 views
Na semana passada, pesquisadores da Universidade Técnica de Graz, na Áustria, publicaram um trabalho científico propondo um método para rastrear a atividade do usuário através de navegadores. Embora variantes de ataques onde uma aba com um site malicioso pode determinar quais páginas estão abertas nas proximidades já existissem, elas dependiam principalmente de peculiaridades de funcionamento dos navegadores. O novo ataque FROST (Fingerprinting Remotely using OPFS-based SSD Timing) também utiliza características dos navegadores, mas o principal canal de vazamento de informações não são eles, e sim o desempenho do drive de armazenamento.
A arquitetura geral do ataque é a seguinte: o usuário é atraído para uma página maliciosa que, utilizando tecnologias padrão de navegadores, implementa uma troca de dados ativa e regular com o SSD. O desempenho do SSD é inferior ao da memória RAM, o que causa certos atrasos na troca de dados quando o drive também é acessado por outros programas e sites. Como se descobriu, os padrões desses atrasos permitem identificar com alta confiabilidade não apenas os programas em execução no PC, mas também os sites visitados. O ataque FROST aprimora a compreensão das possibilidades de ataques de canal lateral (side channel attacks). Neste caso, um tipo específico de ataque é estudado, conhecido como contention side channel – um canal lateral em condições de concorrência por um determinado recurso. Tais tipos de ataques já foram pesquisados anteriormente, por exemplo, um trabalho de 2025 também propôs um método para rastrear outros processos analisando atrasos no acesso ao sistema de arquivos.
O verdadeiro avanço do trabalho dos cientistas austríacos reside no uso da tecnologia OPFS (Origin Private File System). Esta tecnologia está implementada em todos os navegadores modernos e fornece aos sites um sistema de arquivos isolado para trabalhar com dados. Os pesquisadores demonstraram que, com um volume suficientemente grande de informações armazenadas pelo site malicioso no OPFS, é possível contornar o sistema de cache em memória (onde a velocidade de troca é muito alta para rastreamento) e realizar a gravação e leitura do SSD. A principal vantagem de trabalhar com OPFS é que todo o ataque é executado no navegador usando JavaScript e não requer intervenção do usuário. Os estudos foram realizados em um computador com processador AMD 5800X3D, 32 GB de RAM e um drive Sandisk de 256 GB, rodando uma distribuição Linux. O navegador utilizado foi o Google Chrome. O ataque foi testado separadamente sob macOS, em um Mac mini com processador Apple M2. O ataque envolve a leitura contínua de blocos aleatórios de dados de 4 kilobytes de um grande arquivo com informações aleatórias. As variações no tempo de leitura ao longo de um período prolongado permitem coletar dados para análise posterior. A esquema demonstra a parte teórica da pesquisa: temos um aplicativo nativo que envia uma mensagem secreta. A "transmissão" é feita criando uma carga no SSD – consideremos esse estado como o envio de um bit "1". Consequentemente, a ausência de carga é um bit "0". O "receptor" opera no navegador, também criando carga no SSD ao ler dados aleatórios de um arquivo no OPFS e medindo o atraso. Como resultado, um canal oculto de troca de dados é criado, permitindo medir sua velocidade e confiabilidade. O resultado foi de 661 bits por segundo com precisão de quase 90%. Sob macOS, com outras condições de operação, o resultado foi de 719 bits por segundo, também com aproximadamente 90% de precisão. Esses resultados são ligeiramente inferiores aos alcançados na pesquisa anterior de 2025, que utilizava apenas aplicativos nativos. No entanto, a diferença (600-700 bits por segundo via navegador contra 940 bits por segundo nativamente) não é enorme, o que permite concluir: o rastreamento do desempenho do SSD via navegador e OPFS é bastante confiável.
Resta aplicar o método na prática, o que, idealmente, deve excluir qualquer ajuda externa a um site malicioso. Para isso, os pesquisadores começaram a coletar padrões característicos de atrasos de leitura do OPFS que ocorrem quando um determinado site ou até mesmo um aplicativo é aberto nas proximidades. Como os dados obtidos via navegador são ruidosos, foi necessário treinar uma rede neural com "impressões digitais" conhecidas, que foi subsequentemente utilizada para análise. Os resultados são os seguintes: os sites abertos pelo usuário foram identificados corretamente em 89% dos casos, e os aplicativos em 96% dos casos (dados para macOS, onde o ataque foi totalmente pesquisado). Curiosamente, os sites foram rastreados de forma bastante confiável, mesmo que um navegador diferente do que hospedava a página maliciosa tenha sido usado para isso. Uma desvantagem óbvia do ataque proposto é a necessidade de criar um arquivo de tamanho considerável dentro do OPFS – mais de um gigabyte (os pesquisadores não especificam a quantidade exata, apenas mencionam que um arquivo com menos de um gigabyte provavelmente seria cacheado na memória RAM). Isso torna improvável o uso da ferramenta de rastreamento em massa, por exemplo, por grandes sites com alta audiência. Claramente, o rastreamento só é possível para sites e programas que utilizam o mesmo SSD onde o arquivo malicioso está armazenado em cache para seu funcionamento. É possível prevenir o ataque limitando o funcionamento do OPFS no navegador: seja por tamanho, seja exigindo confirmação do usuário para sua ativação. Em qualquer caso, um ataque dessa classe, executado inteiramente no navegador, é uma conquista notável. Frequentemente, pesquisas semelhantes pressupõem a execução de um programa malicioso nativamente. Esses cenários são úteis para a ciência, mas impraticáveis – se um computador já está comprometido, dados úteis podem ser roubados de centenas de maneiras mais simples. Aqui, ocorreu uma combinação interessante de um ataque de navegador sem intervenção do usuário, com alta qualidade de rastreamento, embora limitada aos nomes de sites e programas em execução.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Na semana passada, pesquisadores da Universidade Técnica de Graz, na Áustria, publicaram um trabalho científico propondo um método para rastrear a atividade do usuário através de navegadores. Embora variantes de ataques onde uma aba com um site malicioso pode determinar quais páginas estão abertas nas proximidades já existissem, elas dependiam principalmente de peculiaridades de funcionamento dos navegadores. O novo ataque FROST (Fingerprinting Remotely using OPFS-based SSD Timing) também utiliza características dos navegadores, mas o principal canal de vazamento de informações não são eles, e sim o desempenho do drive de armazenamento.
A arquitetura geral do ataque é a seguinte: o usuário é atraído para uma página maliciosa que, utilizando tecnologias padrão de navegadores, implementa uma troca de dados ativa e regular com o SSD. O desempenho do SSD é inferior ao da memória RAM, o que causa certos atrasos na troca de dados quando o drive também é acessado por outros programas e sites. Como se descobriu, os padrões desses atrasos permitem identificar com alta confiabilidade não apenas os programas em execução no PC, mas também os sites visitados. O ataque FROST aprimora a compreensão das possibilidades de ataques de canal lateral (side channel attacks). Neste caso, um tipo específico de ataque é estudado, conhecido como contention side channel – um canal lateral em condições de concorrência por um determinado recurso. Tais tipos de ataques já foram pesquisados anteriormente, por exemplo, um trabalho de 2025 também propôs um método para rastrear outros processos analisando atrasos no acesso ao sistema de arquivos.
O verdadeiro avanço do trabalho dos cientistas austríacos reside no uso da tecnologia OPFS (Origin Private File System). Esta tecnologia está implementada em todos os navegadores modernos e fornece aos sites um sistema de arquivos isolado para trabalhar com dados. Os pesquisadores demonstraram que, com um volume suficientemente grande de informações armazenadas pelo site malicioso no OPFS, é possível contornar o sistema de cache em memória (onde a velocidade de troca é muito alta para rastreamento) e realizar a gravação e leitura do SSD. A principal vantagem de trabalhar com OPFS é que todo o ataque é executado no navegador usando JavaScript e não requer intervenção do usuário. Os estudos foram realizados em um computador com processador AMD 5800X3D, 32 GB de RAM e um drive Sandisk de 256 GB, rodando uma distribuição Linux. O navegador utilizado foi o Google Chrome. O ataque foi testado separadamente sob macOS, em um Mac mini com processador Apple M2. O ataque envolve a leitura contínua de blocos aleatórios de dados de 4 kilobytes de um grande arquivo com informações aleatórias. As variações no tempo de leitura ao longo de um período prolongado permitem coletar dados para análise posterior. A esquema demonstra a parte teórica da pesquisa: temos um aplicativo nativo que envia uma mensagem secreta. A "transmissão" é feita criando uma carga no SSD – consideremos esse estado como o envio de um bit "1". Consequentemente, a ausência de carga é um bit "0". O "receptor" opera no navegador, também criando carga no SSD ao ler dados aleatórios de um arquivo no OPFS e medindo o atraso. Como resultado, um canal oculto de troca de dados é criado, permitindo medir sua velocidade e confiabilidade. O resultado foi de 661 bits por segundo com precisão de quase 90%. Sob macOS, com outras condições de operação, o resultado foi de 719 bits por segundo, também com aproximadamente 90% de precisão. Esses resultados são ligeiramente inferiores aos alcançados na pesquisa anterior de 2025, que utilizava apenas aplicativos nativos. No entanto, a diferença (600-700 bits por segundo via navegador contra 940 bits por segundo nativamente) não é enorme, o que permite concluir: o rastreamento do desempenho do SSD via navegador e OPFS é bastante confiável.
Resta aplicar o método na prática, o que, idealmente, deve excluir qualquer ajuda externa a um site malicioso. Para isso, os pesquisadores começaram a coletar padrões característicos de atrasos de leitura do OPFS que ocorrem quando um determinado site ou até mesmo um aplicativo é aberto nas proximidades. Como os dados obtidos via navegador são ruidosos, foi necessário treinar uma rede neural com "impressões digitais" conhecidas, que foi subsequentemente utilizada para análise. Os resultados são os seguintes: os sites abertos pelo usuário foram identificados corretamente em 89% dos casos, e os aplicativos em 96% dos casos (dados para macOS, onde o ataque foi totalmente pesquisado). Curiosamente, os sites foram rastreados de forma bastante confiável, mesmo que um navegador diferente do que hospedava a página maliciosa tenha sido usado para isso. Uma desvantagem óbvia do ataque proposto é a necessidade de criar um arquivo de tamanho considerável dentro do OPFS – mais de um gigabyte (os pesquisadores não especificam a quantidade exata, apenas mencionam que um arquivo com menos de um gigabyte provavelmente seria cacheado na memória RAM). Isso torna improvável o uso da ferramenta de rastreamento em massa, por exemplo, por grandes sites com alta audiência. Claramente, o rastreamento só é possível para sites e programas que utilizam o mesmo SSD onde o arquivo malicioso está armazenado em cache para seu funcionamento. É possível prevenir o ataque limitando o funcionamento do OPFS no navegador: seja por tamanho, seja exigindo confirmação do usuário para sua ativação. Em qualquer caso, um ataque dessa classe, executado inteiramente no navegador, é uma conquista notável. Frequentemente, pesquisas semelhantes pressupõem a execução de um programa malicioso nativamente. Esses cenários são úteis para a ciência, mas impraticáveis – se um computador já está comprometido, dados úteis podem ser roubados de centenas de maneiras mais simples. Aqui, ocorreu uma combinação interessante de um ataque de navegador sem intervenção do usuário, com alta qualidade de rastreamento, embora limitada aos nomes de sites e programas em execução.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
