ინტერნეტუსაფრთხოების სფეროში ახალი კვლევა გამოქვეყნდა, რომელიც ციფრული თითის ანაბეჭდების (browser fingerprinting) აღების მოწინავე და საშიშ მეთოდს — Frost-ს აღწერს. ეს მეთოდი ეყრდნობა Origin Private File System-ის (OPFS) გამოყენებას, რათა გაზომოს SSD მეხსიერების მუშაობის დრო და ამ მონაცემების საშუალებით იდენტიფიცირება გაუკეთოს მომხმარებელს.

რა არის Frost და როგორ მუშაობს ის?

ტრადიციული თითის ანაბეჭდების აღების მეთოდები ხშირად ეყრდნობა ბრაუზერის პარამეტრებს, დაინსტალირებულ შრიფტებს ან ეკრანის გარჩევადობას. Frost კი უფრო ღრმა დონეზე მუშაობს. ის იყენებს OPFS-ს, რათა ზუსტად გაზომოს, თუ როგორ რეაგირებს მომხმარებლის მოწყობილობის SSD დისკი მონაცემთა ჩაწერასა და წაკითხვაზე.

ვინაიდან თითოეულ SSD-ს აქვს მუშაობის უნიკალური მახასიათებლები, დროის ეს მცირე ცვლილებები ქმნის უნიკალურ „ხელწერას“. ვებგვერდს, რომელიც იყენებს Frost-ის ტექნოლოგიას, შეუძლია მომხმარებლის იდენტიფიცირება მაშინაც კი, თუ ის იყენებს VPN-ს ან კონფიდენციალურობის სხვა დამცავ საშუალებებს.

რატომ არის ეს საფრთხე მნიშვნელოვანი?

მთავარი პრობლემა ისაა, რომ Frost-ის დეტექცია უკიდურესად რთულია. მოწყობილობის აპარატურული მახასიათებლები, რომლებსაც ეს მეთოდი ზომავს, არის სტატიკური და მათი შეცვლა მომხმარებლისთვის შეუძლებელია. ეს ნიშნავს, რომ მომხმარებლის თვალთვალი შეიძლება გაგრძელდეს ხანგრძლივი დროის განმავლობაში, მიუხედავად ქუქი-ფაილების წაშლისა.

კვლევა ხაზს უსვამს, რომ OPFS-ის გამოყენება ბრაუზერებში სულ უფრო ხშირია, რადგან ის აუმჯობესებს ვებ-აპლიკაციების მუშაობას. თუმცა, როგორც ჩანს, ეს ფუნქციონალი ორლესლი მახვილია, რომელიც დამატებით ვექტორს უქმნის კონფიდენციალურობის დარღვევას.

რა ნაბიჯებია საჭირო თავდაცვისთვის?

ამ ეტაპზე Frost-ისგან სრულყოფილი დაცვა არ არსებობს. თუმცა, კიბერუსაფრთხოების ექსპერტები რეკომენდაციას უწევენ ბრაუზერების ისეთ პარამეტრებს, რომლებიც ზღუდავენ წვდომას მაღალი სიზუსტის ტაიმერებზე. ასევე, მნიშვნელოვანია ბრაუზერის განახლება, რადგან მწარმოებლები შესაძლოა მომავალში შეზღუდონ OPFS-ის გამოყენება მესამე მხარის სკრიპტებისთვის.

მომხმარებლებისთვის, რომლებიც განსაკუთრებით ზრუნავენ ანონიმურობაზე, რეკომენდებულია ისეთი ბრაუზერების გამოყენება, რომლებიც აქტიურად ებრძვიან fingerprinting-ს, თუმცა Frost-ის მსგავსი აპარატურული მეთოდები კვლავაც რჩება გამოწვევად მთელი ინდუსტრიისთვის.