Webové stránky mají nový způsob, jak špehovat své návštěvníky: měřením nepatrných interakcí s jejich SSD disky. Technika nazvaná FROST (Fingerprinting Remotely using OPFS-based SSD Timing) umožňuje webům sledovat, které jiné stránky si návštěvník prohlíží a které aplikace má na svém zařízení spuštěné. Technika byla popsána ve výzkumné práci týmu vědců [PDF] a využívá postranní kanál, což je forma úniku vyplývající z fyzických projevů, jako jsou elektromagnetické vyzařování, datové mezipaměti nebo čas potřebný k dokončení úkolu. Měřením těchto veličin dochází k úniku citlivých informací.
FROST využívá principu známého jako soupeření o zdroje (contention side channel), kdy se měří interakce různých procesů, které všechny soupeří o jeden zdroj. Na základě měření časování určitých operací I/O (vstup-výstup) SSD, které návštěvník používá, byli výzkumníci schopni zjistit, které webové stránky jsou otevřené v jiných panelech prohlížeče a dokonce i v jiných prohlížečích. Zároveň bylo možné sledovat, které aplikace jsou spuštěné na zařízení návštěvníka.
FROST nevyžaduje od návštěvníka žádnou interakci kromě otevření stránky, na které se útok odehrává. Na rozdíl od předchozích podobných útoků běží FROST výhradně v prohlížeči a využívá JavaScript, který komunikuje s OPFS (origin private file system), což je přidělený úložný prostor vyhrazený pro konkrétní webovou stránku k provádění kódu potřebného k dokončení daného úkolu. Webové stránky jej mohou vytvořit bez jakékoli interakce ze strany uživatele.
Útočník průběžně měří vytížení SSD prováděním náhodných čtení z velkého souboru OPFS. Vytížení SSD způsobené aktivitou uživatele vede k měřitelným rozdílům v latenci těchto operací čtení. Trénováním konvoluční neuronové sítě (CNN) na těchto datech pak může útočník identifikovat aktivitu uživatele na hostitelském systému pomocí trénovaného modelu neuronové sítě.
