研究人員發現瀏覽器API漏洞「FROST攻擊」:透過SSD活動監測即可窺探用戶瀏覽行為
安全研究人員揭露一種名為「FROST」的新型側通道攻擊手法,利用瀏覽器的Origin Private File System(OPFS)API,透過測量SSD儲存裝置活動,無需任何權限或用戶互動即可識別使用者正在使用的應用程式與瀏覽的網站。

文章重點
- 研究人員揭露「FROST」攻擊,利用瀏覽器OPFS API透過SSD活動監測窺探用戶瀏覽行為
- FROST攻擊無需任何權限或用戶互動即可識別使用者正在使用的應用程式與網站
- Origin Private File System(OPFS)為瀏覽器API,允許網站在本機磁碟建立與儲存檔案
- 此攻擊屬於側通道攻擊,凸顯瀏覽器API便利性與安全性之間的潛在衝突
新型瀏覽器側通道攻擊「FROST」曝光
安全研究人員近日發表了一項令人擔憂的研究成果,揭露了一種名為「FROST」的全新側通道攻擊(Side-Channel Attack)手法。該攻擊利用瀏覽器內建的 Origin Private File System(OPFS)API 漏洞,能夠透過測量 SSD 固態硬碟的讀寫活動,在不需要任何權限或用戶互動的情況下,精確辨識使用者正在使用的應用程式及瀏覽的網站。
攻擊原理
OPFS 是一種瀏覽器 API,允許網站在使用者的本機磁碟上建立並儲存檔案。FROST 攻擊正是利用這項功能的特性,透過監測 SSD 儲存裝置的活動模式,推斷出使用者當前的瀏覽行為。
無需權限即可執行
這項攻擊最令人警戒之處在於,它完全不需要取得任何特殊權限,也不需要使用者進行任何互動操作。換言之,惡意網站只需透過標準的瀏覽器 API 即可發動攻擊,大幅降低了攻擊門檻。
資安隱私影響
此研究再次凸顯了現代瀏覽器 API 在便利性與安全性之間的潛在衝突。隨著瀏覽器功能日益強大,開放給網頁應用程式的系統層級存取權限也越來越多,這類側通道攻擊的風險值得所有使用者與開發者關注。
原文來源: 查看原文
常見問題
Newsletter
訂閱低空產業電子報
每日精選低空經濟與無人機產業新聞,直送您的信箱。
本文由 LAETimes 編輯部審核發佈 ·


