Wie SSD-Zugriffszeiten zum digitalen Fingerabdruck werden

„FROST“ haben IT-Forscher einen Angriff auf die Privatsphäre mittels Vermessen von SSD-Zugriffszeiten genannt. Webbrowser können etwa ausforschen, welche Webseiten Nutzer besucht haben.

Die Forscher nutzen dabei hochauflösende Timer, die im Webbrowser heutzutage verfügbar sind, schreiben sie in ihrem Paper. Bei ihrem Seitenkanalangriff schicken sie Dateien über die „Origin Private File System“-API (OPFS) in JavaScript auf eine SSD und lesen diese zurück. Durch die damit erzeugte Last auf dem Laufwerk entstehen Verzögerungen, wenn andere Anwendungen ebenfalls auf die SSD zugreifen. Diese messen die Angreifer und nutzen sie, um Muster zu erkennen. Dafür haben die Forscher eine Möglichkeit gefunden, den Page-Cache des Betriebssystems zu umgehen, was ihnen direkte Messungen der SSD-Zugriffszeiten ermöglicht.

Das passiert alles innerhalb der Browser-Sandbox – ohne Benutzerinteraktion und ohne, dass lokale Programme gestartet werden müssten, direkt aus dem Webbrowser heraus. Die Angriffe haben sie unter Linux und macOS ausgetestet. Ihr verdeckter Kanal leitete unter Linux etwa 660 Bit pro Sekunde und unter macOS 892 Bit pro Sekunde aus. Damit konnten sie unter macOS mit hohen Wahrscheinlichkeiten bestimmen, auf welche Webseiten die User zugegriffen haben (88,95 Prozent), die zugegriffenen Apps sogar mit 95,83 Prozent.

Verfeinerter Angriff

Derartige Angriffe wurden bereits vorher demonstriert, ebenfalls von Forschern der TU Graz wie Daniel Gruss, Fabian Rauscher und Jonas Juffinger, die auch am FROST-Paper mitgewirkt haben. Sie basieren offenbar darauf, dass mehrere Apps gleichzeitig auf SSDs zugreifen, was zu erhöhten Latenzen oder Blockaden bei den Anfragen anderer Prozesse führt. Die Forscher sprechen von auftretenden Konflikten (contention). Unterschiedliche Webseiten und Apps weisen recht spezifische Zugriffsmuster und damit Verzögerungen auf, was eine Art digitalen Fingerabdruck darstellt. Tiefergehende Details dazu finden sich in den Studien der Forscher.

Die IT-Forscher beschreiben als Angriffsszenario, dass Angreifer Opfer dazu bringen, eine bösartige Webseite zu besuchen, die den Angriffscode ausliefert. Der Webbrowser führt den Code ohne spezielle Rechte in der Sandbox aus. Die Angreifer können dadurch Informationen über das Verhalten des Opfers aus dem System auslesen. Das Team unterstellt zudem, dass angesurfte Webseiten einfach offen bleiben, während Opfer etwas anderes erledigen, was durchaus realistisch ist. Dann kann die bösartige Webseite das Timing der SSD bestimmen und somit feststellen, welche Webseiten und Apps geöffnet sind.

Im Rahmen des Responsible Disclosure informierten die Forscher die Browser-Hersteller: Google wertet Fingerprinting-Angriffe generell nicht als Sicherheitslücken, Apple stuft FROST derzeit als außerhalb des eigenen Scopes ein, und Mozilla hat die Befunde zwar anerkannt, aber noch keine Gegenmaßnahmen ergriffen.

(dmk)