Theo Tom's Hardware, nhóm nghiên cứu tại Đại học Công nghệ Graz (Áo) vừa công bố báo cáo gây chú ý về lỗ hổng tấn công kênh bên (side-channel attack) - kiểu tấn công gián tiếp thay vì trực tiếp từ hệ thống.
Điều nguy hiểm là phương pháp Frost có thể thực hiện ngầm thông qua mã java script chạy trên trình duyệt phổ biến mà không cần người dùng cấp bất kỳ quyền truy cập nào, cũng không cần họ phải tương tác với trang web độc hại. Frost lợi dụng một API (có sẵn trên trình duyệt hiện đại gọi là OPFS - Origin Private File System). Tính năng này cho phép website tự động tạo và lưu trữ tệp tin trực tiếp lên ổ cứng máy tính của người dùng mà không cần hiển thị thông báo xin phép.
Thông thường, những cuộc tấn công khai thác ổ cứng trước đây yêu cầu mã độc phải chạy trực tiếp trên hệ điều hành với quyền quản trị cao. Tuy nhiên, Frost phá vỡ rào cản này khi vận hành trực tiếp từ môi trường sandbox an toàn của trình duyệt. Trong đó, cách thức tấn công của Frost là khi người dùng truy cập vào một website do tin tặc kiểm soát, trang này sẽ bí mật tạo một tệp tin OPFS dung lượng cực lớn trên ổ cứng SSD của nạn nhân. Trình duyệt Chrome và Safari cho phép một website chiếm tới 60% tổng dung lượng ổ đĩa, tương đương hơn 150 GB trên một ổ cứng 256 GB. Tập tin được cố tình làm cho lớn hơn dung lượng RAM của máy để hệ điều hành buộc phải đọc dữ liệu trực tiếp từ ổ cứng SSD thay vì bộ nhớ đệm. Khi người dùng mở ứng dụng khác hoặc vào trang web khác, các hoạt động đó sẽ tạo ra dữ liệu ghi vào ổ cứng, làm tốc độ đọc file của tin tặc bị chậm đi đôi chút. Thuật toán AI mạng thần kinh tích chập CNN của kẻ tấn công khi đó sẽ phân tích những khoảng trễ siêu nhỏ để nhận diện các đặc điểm riêng (fingerprinting) để đoán ra người dùng đang làm gì.
Một mẫu SSD của Kingmax. Ảnh: Thủy Linh
Do tranh chấp băng thông xảy ra ở cấp độ phần cứng, cuộc tấn công có thể hoạt động xuyên trình duyệt. Thử nghiệm cho thấy, nếu kẻ tấn công mở trang độc hại trên Chrome, chúng vẫn có thể theo dõi hành vi duyệt web của nạn nhân đang sử dụng Safari với độ chính xác gần tương đương.
Trong các thử nghiệm thực tế trên một máy Mac Mini với chip M2, RAM 8 GB và SSD 256 GB, Frost đạt độ chính xác 89% trong việc nhận diện các trang web mà nạn nhân đang truy cập và 96% đối với các ứng dụng đang chạy ngầm. Nhóm nghiên cứu cũng xác nhận có thể đo được độ trễ SSD tương tự trên hệ điều hành Linux, trong khi Windows chưa được thử nghiệm.
Mặc dù có tỷ lệ chính xác cao, các chuyên gia nhận định Frost vẫn gặp một rào cản lớn là dung lượng file quá "khủng". Máy tính bỗng nhiên bị chiếm dụng hàng chục đến hàng trăm GB dung lượng trống sau vài phút lướt web khiến người dùng nghi ngờ. Ngoài ra, cuộc tấn công chỉ có tác dụng nếu hệ điều hành và các ứng dụng khác được cài đặt trên cùng một ổ cứng vật lý với tệp tin OPFS của trình duyệt.
Nhóm nghiên cứu cho biết đã gửi phát hiện này đến Google, Apple và Mozilla từ trước đó để tìm giải pháp khắc phục. Tuy nhiên, Google cho biết họ không xem phương thức thu thập fingerprinting kiểu này là lỗ hổng bảo mật nghiêm trọng, Apple nói hình thức tấn công này nằm ngoài phạm vi xử lý của hãng, còn Mozilla chưa có động thái triển khai bản vá.
