웹사이트가 방문자를 감시하는 새로운 방법: SSD 활동 분석

Source: Ars Technica

공격 작동 방식

각 파일 시스템은 다른 웹사이트와 장치 시스템 자체로부터 격리(샌드박스)되어 있지만, JavaScript는 I/O 상호작용을 측정할 수 있습니다. 이러한 상호작용을 사전 학습된 convolutional neural network (텍스트, 오디오, 이미지를 분석하는 딥러닝 시스템)를 통해 실행하면, 공격자는 기기에서 열려 있는 다양한 앱과 웹사이트를 추론할 수 있습니다.

“공격자는 큰 OPFS 파일에서 무작위 읽기를 수행함으로써 SSD 경쟁을 지속적으로 측정합니다,” 라고 연구진이 설명했습니다. “사용자 활동으로 인한 SSD 경쟁은 이러한 읽기 작업에 측정 가능한 지연 차이를 발생시킵니다. 이러한 트레이스를 사용해 컨볼루션 신경망(CNN)을 학습시킴으로써, 공격자는 학습된 모델을 이용해 새로운 트레이스를 분류하여 호스트 시스템의 사용자 활동을 지문화할 수 있습니다.”

제한 사항

1. 파일 크기 요구 – OPFS 파일은 매우 커야 합니다(대개 1GB 이상). 대규모로 사용될 경우 많은 사용자에게 눈에 띌 수 있습니다.
2. 동일 SSD 요구 – OPFS 파일은 방문자가 사용하는 동일한 SSD에 있어야 합니다. 이는 OPFS 파일이 브라우저의 기본 위치에 저장되기 때문에 열려 있는 웹사이트를 추적하는 데는 보통 문제가 되지 않지만, 별도의 SSD에서 실행되는 앱은 이 공격에 노출되지 않습니다.

완화 방안

• 필요 없을 때 탭을 즉시 닫기.
• OPFS 파일 모니터링: 보안에 민감한 사용자는 알 수 없는 웹사이트가 할당한 OPFS 파일의 생성 및 크기를 감시할 수 있습니다.
• 브라우저 수준 방어: 연구진은 이러한 파일의 최대 크기를 제한하는 방안을 제안했습니다.

현재 야생에서 수행된 FROST 공격 사례는 알려진 바 없습니다.

실험 결과

• 연구진은 M2 Mac에서 전체 FROST 공격을 수행했습니다.
• Linux에서는 기본 원시 기술(JavaScript를 통한 SSD 접근 지연 트레이스 측정)이 작동함을 입증했지만, 전체 공격은 실행하지 않았습니다.

“이 원시 기술의 성능이 macOS와 Linux 사이에 유사하기 때문에, 전체 분류에서도 비슷한 성능을 기대합니다,” 라고 공동 저자 Hannes Weissteiner가 말했습니다. “원칙적으로, SSD 접근을 신뢰성 있게 생성하는 어떤 시스템 활동에 대해서도 모델을 학습시키는 것이 가능할 것입니다.”

• Windows는 테스트되지 않았습니다.

추가 읽을거리

위에 링크된 논문에는 더 많은 기술적 세부 사항이 포함되어 있습니다. 이 연구는 7월에 열리는 DIMVA conference에서 발표될 예정입니다.