حمله FROST: چگونه تأخیر در دسترسی به SSD فعالیت کاربران را فاش می‌کند؟

26 خرداد 1405 حمله FROST: چگونه تأخیر در دسترسی به SSD فعالیت کاربران را فاش می‌کند؟

حمله FROST: چگونه تأخیر در دسترسی به SSD فعالیت کاربران را فاش می‌کند؟

دانشمندان دانشگاه فناوری گراتس (Graz University of Technology) در اتریش به‌تازگی مقاله‌ای منتشر کرده‌اند که در آن روش جدیدی برای ردیابی فعالیت کاربران از طریق مرورگرهای وب شرح داده شده است. جالب‌ترین نکته درباره این تکنیک جدید که آن را FROST نام‌گذاری کرده‌اند، این است که برای جاسوسی به درایو حالت جامد (SSD) رایانه متکی است.

بدون ورود به جزئیات فنی پیچیده، نحوه عملکرد این حمله به این صورت است: مهاجم کاربر را به بازدید از یک وب‌سایت ویژه و از پیش طراحی‌شده ترغیب می‌کند. تا زمانی که این صفحه در مرورگر باز بماند، مهاجم می‌تواند به‌طور دقیق تشخیص دهد کاربر چه برنامه‌هایی را اجرا می‌کند و از چه وب‌سایت‌هایی بازدید می‌کند.

اما این کار چگونه انجام می‌شود؟ نخستین واکنش معمولاً این است که مرورگر را مقصر بدانیم. با این حال، در مرورگرهای مدرن، هر وب‌سایت در یک Sandbox ایزوله اجرا می‌شود و معمولاً امکان دسترسی به تب‌های دیگر یا حتی سخت‌افزار رایانه را ندارد. هرچند هکرها گاهی راه‌هایی برای دور زدن این محدودیت‌ها پیدا می‌کنند، اما در اینجا موضوع چیز دیگری است.

حمله FROST نیازی به نفوذ به مرورگر ندارد و حتی در شرایطی که تمام مکانیزم‌های امنیتی استاندارد فعال باشند نیز به‌خوبی عمل می‌کند. این روش در واقع از قابلیتی کاملاً قانونی در مرورگرها به نام Origin Private File System (OPFS) سوءاستفاده می‌کند؛ قابلیتی که به هر وب‌سایت فضای ذخیره‌سازی مجزایی برای نگهداری داده‌ها اختصاص می‌دهد.

اما با وجود اینکه این فضا از نظر منطقی و نرم‌افزاری ایزوله است، داده‌ها همچنان روی همان SSD فیزیکی ذخیره می‌شوند که سایر برنامه‌ها و وب‌سایت‌های در حال اجرا نیز از آن استفاده می‌کنند. پژوهشگران دریافتند اگر یک صفحه مخرب به‌طور مداوم درخواست‌های متعدد خواندن و نوشتن داده را به SSD ارسال کند، تأخیرهای بسیار جزئی ایجادشده در دسترسی به داده‌ها می‌تواند تصویری از فعالیت سایر برنامه‌های در حال اجرا روی سیستم ارائه دهد.

پیش از آنکه وارد جزئیات این روش شویم، بهتر است نگاهی کوتاه به نظریه‌ای بیندازیم که این حمله بر پایه آن شکل گرفته است.

آشنایی کوتاه با حملات Side-Channel

اصطلاح Side-Channel به روشی برای جاسوسی غیرمستقیم از یک رایانه یا حتی یک تراشه الکترونیکی اشاره دارد. در این نوع حملات، مهاجم به‌جای رهگیری مستقیم داده‌ها، نشانه‌های جانبی را تحلیل می‌کند؛ برای مثال تغییرات مصرف انرژی، دمای قطعات مختلف یا حتی تابش‌های الکترومغناطیسی دستگاه.

از نظر تئوری، این بدان معناست که فردی می‌تواند تنها با استفاده از یک ماوس رایانه به مکالمه‌ای در یک اتاق گوش دهد؛ زیرا حسگر نوری ماوس قادر است ارتعاشات صوتی را تشخیص دهد. به همین ترتیب، بررسی نوسانات فرکانس پردازنده (CPU) می‌تواند به مهاجم در سرقت یک کلید رمزنگاری کمک کند.

حتی یک چراغ LED ساده روی دستگاه کارت‌خوان نیز ممکن است اطلاعات کافی درباره عملکرد داخلی دستگاه فاش کند تا مهاجم بتواند یک کارت هوشمند را شبیه‌سازی کند.

نگاهی به سازوکار حملات Side-Channel مبتنی بر رقابت بر سر منابع

مزیت این نشت‌های غیرمستقیم داده — حداقل از دید مهاجمان — این است که شناسایی آن‌ها چندان آسان نیست. تولیدکنندگان تجهیزات معمولاً هنگام طراحی سامانه‌های امنیتی، چنین سناریوهایی را در نظر نمی‌گیرند. البته این روش یک نقطه‌ضعف مهم هم دارد: استخراج اطلاعات از مسیری که اساساً برای انتقال داده طراحی نشده، معمولاً فرایندی پیچیده، کند و زمان‌بر است.

پژوهشگران اتریشی روی نوع خاصی از این حملات با نام Contention Side-Channel Attack تمرکز کرده‌اند. در این نوع حمله، نشت اطلاعات زمانی رخ می‌دهد که چند فرایند برای استفاده از یک منبع مشترک با یکدیگر رقابت می‌کنند. در این پژوهش، منبع مورد رقابت پهنای باند درایو ذخیره‌سازی است.

درون حمله FROST

این کانال جانبی خاص پیش از این نیز مورد بررسی قرار گرفته بود؛ از جمله در یک مقاله پژوهشی که در سال 2025 منتشر شد. در آن پژوهش، سناریوی آزمایش نسبتاً ساده بود: یک برنامه روی رایانه به‌عنوان منبع داده عمل می‌کرد و برنامه‌ای دیگر که روی همان سیستم اجرا می‌شد، تلاش می‌کرد این داده‌ها را رهگیری کند.

اگرچه چنین رویکردی برای یک مطالعه دانشگاهی مناسب است، اما از منظر عملی چندان تحول‌آفرین محسوب نمی‌شود. به هر حال، اگر مهاجم بتواند برنامه دلخواه خود را روی سیستم قربانی اجرا کند، دیگر نیازی به استفاده از کانال‌های جانبی پیچیده نخواهد داشت و روش‌های مستقیم‌تری برای سرقت اطلاعات در اختیار خواهد داشت.

با این حال، پژوهش سال گذشته بی‌نتیجه نبود. این تحقیق نشان داد که دقت اطلاعات به‌دست‌آمده از پایش یک SSD بسیار بالاست، نشت اطلاعات واقعاً رخ می‌دهد و داده‌های استخراج‌شده می‌توانند کاربردی باشند. حمله FROST در واقع ادامه منطقی همان ایده است.

در عمل، این حمله به چه صورت کار می‌کند؟ فرض کنید یک فایل نسبتاً بزرگ حاوی داده‌های تصادفی روی SSD ذخیره شده است. یک فرایند مشخص در بازه‌های زمانی منظم این فایل را می‌خواند و مدت‌زمان پاسخ‌گویی سیستم را اندازه‌گیری می‌کند. سرعت پاسخ بسته به میزان فعالیت سایر برنامه‌ها روی SSD تغییر می‌کند.

این تأخیرهای دسترسی، نشانه‌هایی از وضعیت فعالیت درایو هستند. پژوهشگران اتریشی نشان دادند که با ثبت و تحلیل این تأخیرها در طول زمان، می‌توان با دقت قابل‌قبولی تشخیص داد که در همان لحظه چه فعالیت دیگری روی رایانه در حال اجراست.

نمودارهای تأخیر

الگوهای متفاوت تأخیر هنگام باز شدن وب‌سایت‌های مختلف

پژوهشگران نمودارهای تأخیر مشابه تصویر بالا را برای مجموعه گسترده‌ای از وب‌سایت‌ها و برنامه‌های محلی ترسیم کردند. نتیجه جالب بود: هر بار که یک وب‌سایت مشخص بارگذاری می‌شد یا یک برنامه خاص اجرا می‌شد، الگوی منحصربه‌فردی ایجاد می‌کرد؛ چیزی شبیه به یک «اثر انگشت دیجیتال».

ثبت این الگوها مستلزم پایش مداوم SSD در بازه‌های زمانی طولانی است تا بتوان لحظه‌های بسیار کوتاه بارگذاری یا اجرای برنامه‌ها را ثبت کرد. با این حال، این الگوها در سیستم‌های مختلف ثبات قابل‌توجهی داشتند. پژوهشگران این روش را هم روی یک رایانه لینوکسی و هم روی یک Apple Mac Mini با موفقیت آزمایش کردند.

در ادامه، روند کار نسبتاً ساده به نظر می‌رسد: مجموعه‌ای از اثرانگشت‌های شناخته‌شده تهیه کنید، تأخیرهای واقعی SSD را اندازه‌گیری کنید و سپس این دو را با یکدیگر تطبیق دهید. نتیجه این خواهد بود که می‌توانید تشخیص دهید کاربر چه برنامه‌هایی را اجرا کرده و از چه وب‌سایت‌هایی بازدید کرده است.

اما سؤال اصلی اینجاست: چگونه می‌توان چنین نظارتی را بدون نصب بدافزار روی سیستم قربانی انجام داد؟

در این مرحله قابلیتی نسبتاً جدید در مرورگرها با نام Origin Private File System (OPFS) وارد ماجرا می‌شود.

در این سناریو، مهاجم نیازی ندارد قربانی را به دانلود یک تروجان مشکوک ترغیب کند. کافی است کاربر از یک وب‌سایت از پیش طراحی‌شده بازدید کند. این صفحه مخرب می‌تواند از OPFS برای پایش مخفیانه فعالیت SSD استفاده کند.

نام FROST نیز از همین سازوکار گرفته شده است و مخفف عبارت زیر است:

Fingerprinting Remotely using OPFS-based SSD Timing

یا به‌عبارتی: «اثرانگشت‌برداری از راه دور با استفاده از زمان‌بندی SSD مبتنی بر OPFS».

در ادامه مقاله، مراحل اجرای این حمله به‌صورت گام‌به‌گام تشریح شده است.

محدودیت‌های این روش

مانند بسیاری از حملات Side-Channel، حمله FROST نیز برای سرعت طراحی نشده است. این حمله فرایندی آهسته و مرحله‌به‌مرحله دارد. برای اندازه‌گیری دقیق عملکرد آن، پژوهشگران یک محیط آزمایشی اختصاصی ایجاد کردند.

محیط آزمایش FROST

محیط آزمایشی مورد استفاده برای اندازه‌گیری سرعت استخراج داده از طریق OPFS

در این آزمایش، یک برنامه روی رایانه اجرا می‌شد تا داده‌ها را به‌صورت غیرمستقیم منتقل کند. تصور کنید یک جاسوس دیجیتال با تغییر نحوه تعامل خود با هارددیسک در حال ارسال یک پیام محرمانه است. برای مثال، مقدار «1» در پیام دودویی می‌توانست به معنی استفاده فعال از SSD باشد و مقدار «0» به معنی عدم فعالیت.

هم‌زمان، یک گیرنده درون مرورگر وب از طریق OPFS به درایو ذخیره‌سازی دسترسی داشت. از آنجا که برنامه فرستنده و مرورگر هر دو برای استفاده از پهنای باند SSD رقابت می‌کردند، مرورگر هنگام فعالیت فرستنده با تأخیرهای بسیار جزئی مواجه می‌شد.

این آزمایش غیرمعمول توانست روی یک سیستم لینوکسی مجهز به پردازنده AMD داده‌ها را با سرعت 661 بیت بر ثانیه و دقتی نزدیک به 90 درصد منتقل کند. در Apple Mac Mini مجهز به macOS نیز سرعت انتقال به 719 بیت بر ثانیه رسید و دقت تقریباً مشابهی به دست آمد.

اگرچه این اعداد کمی کمتر از نتایج پژوهش سال گذشته هستند — پژوهشی که بر پایه برنامه‌های نصب‌شده روی سیستم انجام شده بود — اما اختلاف آن‌قدر زیاد نیست که اهمیت نتایج را زیر سؤال ببرد.

محصولات مرتبط

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد