Foto di Samsung Memory.

Alcuni ricercatori austriaci hanno ideato un nuovo metodo di tracciamento che consente ai siti di monitorare l'attività degli utenti analizzando le variazioni nei tempi di accesso agli SSD, trasformando un'operazione tecnica di basso livello in un canale di sorveglianza remoto. La tecnica, denominata FROST (Fingerprinting Remotely using OPFS-based SSD Timing), permette a una pagina visitata di dedurre quali altri siti siano aperti in altre schede e quali applicazioni siano in esecuzione sul dispositivo, sfruttando esclusivamente codice JavaScript eseguito nel browser.

Il meccanismo si basa su una forma di perdita di informazioni derivante dalla competizione tra processi che accedono alla stessa risorsa hardware. In questo caso la risorsa è l'SSD, e l'attacco misura la latenza delle operazioni di lettura eseguite da un file di grandi dimensioni creato tramite l'API OPFS (Origin Private File System). Le differenze di latenza, influenzate dall'attività dell'utente, diventano un'impronta riconoscibile. La OPFS è un'area di archiviazione privata accessibile ai siti tramite JavaScript, progettata per migliorare le prestazioni delle applicazioni web. Ogni sito può creare un proprio file system isolato, senza richiedere interazione da parte dell'utente. Sebbene l'isolamento impedisca l'accesso diretto ai file del sistema operativo, il codice può comunque misurare il tempo necessario per le operazioni I/O, trasformandolo in un segnale utile per il fingerprinting.

Il tracciamento avviene eseguendo letture casuali da un file OPFS molto grande, forzando accessi reali al disco invece che alla cache. Quando altre applicazioni o schede del browser utilizzano l'SSD, la competizione per la risorsa introduce micro‑variazioni nella latenza. Queste variazioni vengono registrate e analizzate da una rete neurale pre‑addestrata, capace di classificare gli schemi e associare ciascuno a un sito o a un'applicazione specifica. Secondo i ricercatori, l'attacco non richiede alcuna azione da parte dell'utente oltre all'apertura della pagina malevola. Una volta caricata, il codice JavaScript può iniziare immediatamente a raccogliere dati.

La tecnica è stata dimostrata in modo completo su macOS con chip Apple M2. Su Linux, i ricercatori hanno verificato che il principio di base funziona, anche se non è stato eseguito l'attacco completo. Windows non è stato ancora testato. Uno degli autori, Hannes Weissteiner, ha dichiarato che le prestazioni del meccanismo sono simili tra macOS e Linux, suggerendo che risultati comparabili siano plausibili anche su altri sistemi. Gli esperimenti mostrano che FROST può identificare i siti aperti in altre schede, anche su browser diversi, e riconoscere applicazioni desktop come Safari, Mappe o Impostazioni di sistema. In test condotti su macOS, la rete neurale ha raggiunto un punteggio superiore all'88% nel riconoscimento dei siti e oltre il 95% nell'identificazione delle applicazioni.

Sullo stesso tema:

Mouse e tastiera sotto controllo: Meta usa i dipendenti come dataset per l'i...

Prezzi dinamici, Sony rivoluziona il PlayStation Store

Il dottor IA è sempre disponibile e gratuito. Ora è autorizzato a oper...

Dai Bitcoin alle valute digitali statali, strumenti di tecnocontrollo

L'attacco è limitato al periodo in cui la scheda malevola rimane aperta e non consente l'esecuzione di codice arbitrario sul sistema. Tuttavia, la sua natura drive‑by — attivabile con una sola visita — lo rende particolarmente insidioso. Inoltre, l'uso di OPFS e timer ad alta risoluzione mostra come funzionalità pensate per migliorare le prestazioni delle applicazioni web possano ampliare la superficie di attacco. Gli autori dello studio propongono alcune mitigazioni, tra cui limitare la dimensione massima dei file OPFS per i siti non attendibili o ridurre la precisione dei timer disponibili in contesti cross‑origin. La vulnerabilità sarà presentata ufficialmente alla conferenza DIMVA di luglio, indicando che la comunità di ricerca sta ancora valutando contromisure efficaci.

Non perderti anche:

Android predice che cosa farai: Contextual Suggestions propone app e azioni prim...

L'insostenibile invadenza del tecnocontrollo

Le scarpe per bambini con lo scomparto nascosto per tracciarle con l'AirTag

ACR, la smart TV vi spia davvero