
SSD Etkinliklerini Analiz Ederek Kullanıcıları Takip Eden Yeni FROST Saldırısı Yöntemi Keşfedildi
Teknoloji Haberleri - Graz Teknoloji Üniversitesi’nden bir araştırma ekibi, SSD’lerin giriş-çıkış gecikmelerini tarayıcı üzerinden analiz ederek kullanıcıların cihazlarındaki aktif uygulamaları ve ziyaret ettikleri web sitelerini tespit edebilen yeni bir yan kanal saldırısı olan FROST saldırısı yöntemini ortaya çıkardı. Yöntem, herhangi bir ek yazılım kurulumu gerektirmeden yalnızca standart JavaScript kodlarıyla çalışıyor.
FROST Saldırısı Nasıl Çalışıyor?
Saldırının temelinde, katı hal sürücülerinde oluşan okuma ve yazma gecikmelerinin ölçülmesi yatıyor. Kötü niyetli bir web sitesi, tarayıcının Origin Private File System (OPFS) altyapısını kullanarak en az 1 GB boyutunda büyük bir sanal dosya oluşturuyor. Site açık kaldığı sürece bu dosya üzerinde durmaksızın rastgele okuma işlemleri yapılıyor. Kullanıcı aynı anda başka bir uygulama çalıştırdığında veya farklı bir sekmeyi aktif hale getirdiğinde, SSD üzerinde ek bir yük meydana geliyor. Bu donanımsal çekişme, saldırganın gerçekleştirdiği okuma işlemlerinde milisaniyeler seviyesinde gecikmelere yol açıyor.
Oluşan bu zamanlama farkları, önceden eğitilmiş bir evrişimli sinir ağı (CNN) modeline besleniyor. Yapay zeka, gecikme desenlerini analiz ederek hangi uygulamanın çalıştığını ya da hangi web sitesine göz atıldığını sınıflandırabiliyor. Araştırmacıların paylaştığı test sonuçlarına göre FROST saldırısı, kapalı laboratuvar ortamında uygulama tespitinde yüzde 95’in üzerinde, web sitesi tespitinde ise yüzde 88 seviyesinde doğruluk oranına ulaştı.
Saldırının Sınırları ve Fark Edilme Olasılığı
Saldırının geniş kitlelere uygulanmasını zorlaştıran birkaç kritik kısıtlama bulunuyor. Öncelikle yöntemin kararlı çalışabilmesi için oluşturulan OPFS dosyasının boyutunun en az 1 gigabayt olması şart. Bu denli büyük bir dosyanın tarayıcı önbelleğinde yer kaplaması, sistem kaynaklarını takip eden bilinçli kullanıcıların durumu fark etmesini mümkün kılıyor.
Bir diğer önemli engel ise depolama birimiyle ilgili. Takip edilmek istenen uygulamaların, tarayıcının kullandığı SSD ile aynı fiziksel sürücüde bulunması gerekiyor. İşletim sistemi veya hedef yazılımlar farklı bir diskte çalışıyorsa saldırı tamamen etkisiz kalıyor. Şu ana kadar yapılan incelemelerde, FROST saldırısı yönteminin gerçek dünyada herhangi bir siber saldırıda kullanıldığına dair bir bulguya da rastlanmadı. Teknoloji Haberleri - Teknoloji Medya
