网站追踪访客的手法又升级了。过去几十年里,各种隐蔽手段层出不穷,从浏览历史到设备指纹,再到实时记录键盘敲击和鼠标轨迹,数不胜数。就连Meta和Yandex这样的巨头,最近也被抓到参与这场侵犯隐私的竞赛。
现在,研究者发现了一种全新的监视方式:通过测量访客固态硬盘的细微交互,网站就能窥探你正在看什么。这项技术被命名为FROST,全称是“基于原生的私密文件系统实现固态硬盘远程指纹识别”。
这个思路其实不算全新,它利用的是一种叫“侧信道”的信息泄漏方式。简单理解,就是不去直接读取数据,而是观察物理现象——比如电磁辐射、缓存状态,或者完成某项任务所花的时间。通过这些看似无关的信号,攻击者可以解密加密流量,或者推断出其他本该保密的信息。
FROST具体采用的是“竞争侧信道”。它测量的是多个进程在争夺同一资源时产生的相互影响。研究者发现,通过测量访客固态硬盘处理输入输出操作时的时间差异,就能判断出浏览器其他标签页里打开了哪些网站——即使对方用的是另一款浏览器,或者设备上正在运行什么应用程序。整个攻击过程不需要访客做任何操作,只要打开那个带有恶意代码的网页就够了。
研究者在一篇论文中指出,网页浏览器早已不是简单的文档查看工具,如今进化成了能运行复杂应用的平台。谷歌、微软和Adobe这些公司,在浏览器里部署了完整的办公套件、图像视频编辑器,甚至是集成开发环境。这些功能固然扩展了网页应用的边界,让全新的使用场景成为可能,但也同时扩大了浏览器的攻击面。研究者特别提到,部分功能已经被证实会引入全新的安全漏洞。
与以往攻击固态硬盘的竞争侧信道方案不同,FROST完全运行在浏览器内部。它利用的是一段JavaScript代码,这段代码会操作网站专属的存储空间——原生的私密文件系统。这个系统是浏览器为特定网站分配的,用来执行完成任务所需的代码。关键的地方在于,网站在访客毫无察觉的情况下,就能创建这样一个存储空间。
热门跟贴