Güvenlik araştırmacıları, tarayıcı kullanıcılarının çevrimiçi hareketlerini izleyebilen yeni bir saldırı türü olan FROST'u (File Recovery and Offline Sniffing Technique) ortaya çıkardı. SSD depolama birimlerinin okuma/yazma etkinliklerinden yararlanan bu yöntem, kullanıcıların ziyaret ettiği web sitelerini ve sayfada geçirdiği süreyi tespit edebiliyor. Konuya ilişkin teknik detaylar, uluslararası güvenlik konferansında sunuldu.
FROST Nasıl Çalışıyor?
Bu saldırı yöntemi, modern işletim sistemlerinin disk önbellekleme mekanizmalarını hedef alıyor. Tarayıcılar web sayfalarını yüklerken verileri geçici olarak SSD'ye yazıyor. Araştırmacılar, SSD'nin elektromanyetik yayılımını veya yazma gecikmelerini analiz ederek hangi dosyalara erişildiğini belirleyebileceklerini keşfetti. Örneğin, bir kullanıcı bir bankacılık sitesine girdiğinde, belirli font dosyaları veya JavaScript kütüphaneleri önbelleğe alınıyor ve bu dosyaların imzaları daha önceden hazırlanmış bir veritabanıyla karşılaştırılarak site tespit edilebiliyor.
Tarayıcı Güvenliği İçin Sonuçlar
FROST saldırısı, geleneksel çerez ve parmak izi yöntemlerini atlatıyor. Kullanıcılar çerezleri silseler veya VPN kullansalar bile saldırgan, SSD aktivitelerini izleyerek ziyaret ettikleri siteleri öğrenebiliyor. Bu durum özellikle hassas bilgi içeren bankacılık, sağlık veya haber sitelerini ziyaret edenler için ciddi bir mahremiyet riski oluşturuyor. Chromium ve Firefox gibi popüler tarayıcıların geliştiricileri henüz resmi bir açıklama yapmazken, güvenlik uzmanları kullanıcıların tarayıcı önbelleğini düzenli temizlemesini ve SSD'ler için ek güvenlik yazılımları kullanmasını öneriyor.
Araştırmacılar, bu saldırının yalnızca SSD'li cihazlarda değil, aynı prensiplerle bazı SD kart ve eMMC depolama birimlerinde de uygulanabileceğini belirtiyor. Ancak saldırının başarılı olabilmesi için saldırganın hedef cihaza fiziksel erişimi veya kötü amaçlı bir yazılım aracılığıyla SSD aktivitelerini takip edebilmesi gerekiyor. FROST şimdilik büyük çaplı bir tehdit olarak görülmese de, özellikle kurumsal casusluk ve hedefli saldırılarda kullanılma potansiyeli taşıyor.
FROST, tarayıcı güvenliğinin artık yalnızca yazılım katmanında değil, donanım katmanında da düşünülmesi gerektiğini gösteriyor. Gelecekte tarayıcıların SSD okuma/yazma desenlerini rastgele gecikmelerle maskelemesi veya önbellek kullanımını değiştirmesi gibi önlemler alınabilir. Ancak şu an için kullanıcıların en etkili korunma yöntemi, özellikle ortak kullanılan bilgisayarlarda tarayıcı önbelleğini sık sık temizlemek ve şüpheli uygulamalara karşı dikkatli olmaktır.
