当前位置：首页 > news >正文

网站新招：利用 FROST 技术分析 SSD 活动，窥探访客信息

news 2026/6/1 10:57:06

网站新手段：利用 FROST 技术分析 SSD 活动，窥探访客信息

通过简单的 JavaScript 代码，网站就能在浏览器中测量出固态硬盘（SSD）的特征活动。作者 Dan Goodin 于 2026 年 5 月 27 日下午 4:56 发布此内容，文章已有 140 条评论。

多年来，不少网站都在使用各种巧妙的技术，暗中追踪访客的浏览历史、设备指纹，以及实时按键和鼠标移动信息。最近，Meta 和 Yandex 也因参与侵犯隐私的行为而被曝光。

如今，网站又有了新的访客窥探手段：测量访客与固态硬盘的微妙交互。这种名为 FROST（基于 OPFS 的 SSD 定时远程指纹识别）的技术，能让网站监控访客正在浏览的其他网站，以及其设备上正在运行的应用程序。

基于竞争的侧信道攻击

这项技术在一篇研究论文中被详细阐述，它利用了侧信道——一种由电磁辐射、数据缓存或任务完成时间等物理表现导致的信息泄露方式。攻击者通过测量这些表现，能够解密加密流量并推断其他机密数据。

FROST 使用的攻击方式被称为竞争侧信道，它通过测量多个进程对同一资源的使用（或竞争）情况来进行攻击。研究人员通过测量访客使用的 SSD 的某些输入输出（I/O）操作的时间，就能确定访客在其他标签页（甚至其他浏览器）中打开的网站，以及其设备上正在运行的应用程序。FROST 攻击不需要访客进行任何交互，只需访客打开实施攻击的网站即可。

论文作者提到，网络浏览器已从简单的文档查看器发展成为能够运行复杂应用程序的平台。像谷歌、微软和 Adobe 这样的公司已经开发出了可以完全在浏览器中运行的成熟办公套件、照片和视频编辑器，甚至集成开发环境（IDE）。他们还指出，虽然这些功能增强了网络应用程序的能力，带来了全新的使用场景，但也增加了浏览器的攻击面，有些功能已经被证明会引入新的安全漏洞。

与之前针对 SSD 的竞争侧信道攻击不同，FROST 完全在浏览器中运行。它使用 JavaScript 与 OPFS（源私有文件系统）进行交互，这是一个为特定网站分配的存储空间，用于运行完成特定任务所需的代码。网站可以在无需访客交互的情况下创建 OPFS。

虽然每个文件系统都是沙盒化的，即与其他网站和设备系统本身隔离，但 JavaScript 仍可以测量 I/O 交互。然后，攻击者通过将这些交互数据输入到预训练的卷积神经网络（一种使用深度学习分析文本、音频和图像的系统）中，就可以推断出设备上打开的各种应用程序和网站。

研究人员解释道，攻击者通过对一个大型 OPFS 文件进行随机读取，持续测量 SSD 的竞争情况。用户活动导致的 SSD 竞争会使这些读取操作产生可测量的延迟差异。通过在这些数据上训练卷积神经网络（CNN），攻击者可以通过使用训练好的模型对新的数据进行分类，来识别主机系统上的用户活动。

不过，这项技术也有其局限性。首先，OPFS 文件必须非常大，可能需要 1GB 或更大。这意味着大规模的攻击很可能会被许多用户察觉。此外，OPFS 文件必须存储在访客使用的同一 SSD 上。对于追踪打开的网站来说，这通常不是问题，因为 OPFS 文件默认存储在浏览器中。但如果应用程序使用单独的 SSD 驱动器，FROST 就无法检测到这些应用程序。

防止 FROST 攻击的最佳方法之一是在不再需要时及时关闭标签页。更有经验的用户可以监控未知网站分配的 OPFS 文件的创建和大小。研究人员还为浏览器制造商提出了关闭侧信道的方法，例如限制此类文件的最大允许大小。目前尚无迹象表明 FROST 攻击已在实际中发生。

研究人员在 M2 Mac 上进行了完整的 FROST 攻击测试。在 Linux 上，他们证明了底层原语（从 JavaScript 测量 SSD 访问延迟数据）是可行的，但没有进行完整的攻击测试。

该研究的合著者 Hannes Weissteiner 在一封电子邮件中表示，由于 macOS 和 Linux 上的原语性能相似，预计完整分类的性能也会相似。原则上，可以针对任何能可靠产生 SSD 访问的系统活动训练模型。

研究人员未对 Windows 系统进行测试。上述论文提供了更多技术细节，该研究计划于 7 月在 DIMVA 会议上进行展示。

作者 Dan Goodin 是 Ars Technica 的高级安全编辑，负责监督恶意软件、计算机间谍活动、僵尸网络、硬件黑客、加密和密码等方面的报道。他业余时间喜欢园艺、烹饪和关注独立音乐。Dan 驻旧金山，可在 Mastodon 上关注他，在 Bluesky 上关注，也可通过 Signal 联系他，账号为 DanArs.82。