웹 브라우저의 SSD 활동 분석을 통해 방문한 웹사이트 식별

오스트리아 그라츠 공과대학교 연구진이 FROST(Fingerprinting Remotely using OPFS-based SSD Timing)라는 사이드 채널 공격 기법을 개발했습니다. 이 기법은 브라우저에서 실행되는 자바스크립트 코드의 SSD 활동 분석을 기반으로 하며, 사용자가 접속한 웹사이트를 88.95%의 정확도로, 시스템에서 실행된 애플리케이션을 95.83%의 정확도로 식별할 수 있습니다. 또한 이 기법은 로컬에서 실행 중인 애플리케이션과 브라우저에서 실행되는 자바스크립트 코드 간에 은밀한 통신 채널을 구축하는 데에도 사용할 수 있습니다. 이러한 데이터 교환의 성능은 다음과 같습니다. Linux 661비트/초에 달했으며, macOS — 892비트/초.

이 공격은 웹사이트를 열거나 웹 애플리케이션을 실행할 때 SSD 접근 시간 변동이 각 사이트 및 애플리케이션마다 다르다는 점을 악용합니다. 이전에 측정된 사이트 및 애플리케이션의 일반적인 접근 시간 스냅샷을 사용하면 특정 활동을 다른 I/O 작업과 구분할 수 있습니다. 이 공격의 목적은 I/O 지연 시간과 사이트 및 애플리케이션의 특징적인 동작 패턴 사이의 상관관계를 파악하는 것입니다.
합성곱 신경망은 외부 입력/출력으로 인한 잡음이 존재하는 환경에서도 패턴을 식별할 수 있습니다.

이 방법은 브라우저의 OPFS(Origin-Private FileSystem) API를 활용하여 로컬 파일 시스템에 파일을 생성합니다(웹사이트와 연결된 파일 시스템의 격리된 영역에 파일이 생성됨). SSD 접근 시간은 동일한 데이터 작업에 대한 지연 시간을 측정하여 분석합니다. 공격 중 파일 작업에 대한 페이지 캐시의 영향을 우회하기 위해 사용 가능한 RAM 용량을 초과하는 매우 큰 파일을 생성해야 합니다.

이러한 공격에 대응하기 위해 브라우저 개발사들은 OPFS API 접근 시 사용자에게 별도의 확인 절차를 요구하거나, 최대 파일 크기를 RAM 용량보다 크지 않도록 제한하는 것이 좋습니다. 현재 크롬과 사파리는 OPFS API를 이용해 디스크 공간의 최대 60%까지 차지하는 파일을 생성할 수 있도록 허용하고 있습니다.

구글의 크로뮴 개발자들은 그러한 사이드 채널 공격이 취약점이 아니라고 부인했습니다. 애플의 사파리 개발자들은 향후 대응책을 마련할 가능성을 배제하지 않았습니다. 모질라는 해당 문제를 인지하고 있지만 아직 해결책을 내놓지는 않았습니다.

출처 : opennet.ru