Ao longo das décadas, não faltaram sites utilizando técnicas engenhosas para rastrear discretamente o histórico de navegação dos visitantes, suas impressões digitais de dispositivos e até registrar movimentos de teclado e mouse em tempo real. Gigantes como Meta e Yandex foram flagradas participando dessa prática invasiva de privacidade.
Agora, uma nova técnica surge no cenário da vigilância online. Nomeada FROST (fingerprinting remotely using OPFS-based SSD timing), ela permite que sites monitorem interações sutis com as unidades de estado sólido (SSDs) dos usuários. Em outras palavras, um site pode saber quais outros sites um visitante está acessando e quais aplicativos estão abertos em seus dispositivos.
Um canal lateral baseado em contenção
A técnica, detalhada em um artigo de pesquisa, explora um canal lateral (side channel). Este tipo de ataque aproveita vazamentos de informações resultantes de manifestações físicas, como emanações eletromagnéticas, caches de dados ou o tempo necessário para completar uma tarefa.
“Ao medir as manifestações, os atacantes podem descriptografar tráfego criptografado e inferir outros dados confidenciais.”
Essa abordagem permite que, ao observar as pequenas variações de tempo e uso do SSD, um site mal-intencionado possa “deduzir” atividades que deveriam ser privadas, como a visita a outras páginas ou o uso de determinados programas. É como se o disco rígido, que deveria ser um espaço pessoal, se tornasse uma janela para a sua atividade digital, acessível remotamente.
A pesquisa aponta que a FROST se baseia na contenção de recursos do SSD. Quando múltiplos processos ou as abas do navegador tentam acessar o SSD simultaneamente, pequenas distinções no tempo de resposta podem ser observadas. Essas diferenças são o que a técnica explora para criar um perfil da atividade do usuário, revelando quais outros sites estão sendo visitados ou quais aplicativos estão em execução.
A ascensão das SSDs trouxe maior velocidade e eficiência para os computadores, mas, aparentemente, também abriu novas portas para potenciais vulnerabilidades de privacidade que estão sendo exploradas por mentes criativas — para o bem ou para o mal. Este novo método adiciona mais uma camada de complexidade ao já desafiador cenário da segurança e privacidade digital.