Một nghiên cứu mới vừa khiến giới bảo mật chú ý khi phát hiện phương thức tấn công mang tên Frost. Kỹ thuật này khai thác chính ổ cứng SSD để suy đoán người dùng đang truy cập website nào hoặc đang mở ứng dụng gì trên máy tính.
Khác với các hình thức tấn công truyền thống yêu cầu cài mã độc hoặc chiếm quyền hệ thống, Frost hoạt động hoàn toàn thông qua trình duyệt web. Chỉ cần truy cập vào một trang web được thiết kế đặc biệt, kẻ tấn công có thể tận dụng các đặc điểm hoạt động của ổ cứng SSD để thu thập thông tin về hành vi sử dụng máy tính của nạn nhân.
Frost khai thác ổ cứng SSD như thế nào?
Theo nhóm nghiên cứu, phương pháp này tận dụng tính năng OPFS (Origin Private File System), một API được tích hợp trong nhiều trình duyệt hiện đại như Chrome và Safari. API này cho phép website lưu trữ dữ liệu trực tiếp trên thiết bị người dùng mà không cần hiển thị yêu cầu cấp quyền.
Tin tặc có thể tạo một tập tin cực lớn trên ổ cứng SSD, thậm chí chiếm tới hàng chục hoặc hàng trăm GB dung lượng lưu trữ. Khi kích thước tập tin vượt quá dung lượng RAM của hệ thống, máy tính buộc phải truy xuất dữ liệu trực tiếp từ ổ cứng SSD thay vì sử dụng bộ nhớ đệm.
Lúc này, mọi hoạt động khác của người dùng như mở ứng dụng, chạy phần mềm hoặc truy cập website mới đều tạo ra những thay đổi nhỏ trong băng thông truy xuất của ổ cứng SSD. Các thay đổi này tuy rất nhỏ nhưng vẫn đủ để hệ thống AI của kẻ tấn công phân tích và nhận diện hành vi người dùng.
Độ chính xác đáng kinh ngạc
Trong quá trình thử nghiệm trên máy Mac Mini sử dụng chip M2, RAM 8 GB và ổ cứng SSD 256 GB, Frost cho kết quả đáng ngạc nhiên. Hệ thống có thể xác định website mà người dùng đang truy cập với độ chính xác khoảng 89%.
Đối với các ứng dụng đang chạy nền, độ chính xác thậm chí đạt tới 96%. Điều này cho thấy ổ cứng SSD không chỉ là thiết bị lưu trữ dữ liệu đơn thuần mà còn có thể vô tình trở thành nguồn phát sinh thông tin phục vụ các cuộc tấn công kênh bên (side-channel attack).
Đáng chú ý hơn, cuộc tấn công không bị giới hạn trong một trình duyệt. Nếu trang web độc hại được mở trên Chrome, kẻ tấn công vẫn có thể theo dõi các hoạt động diễn ra trên Safari nhờ việc tất cả đều sử dụng chung tài nguyên từ ổ cứng SSD.
Vì sao đây là mối lo ngại mới về quyền riêng tư?
Trong nhiều năm, giới bảo mật chủ yếu tập trung vào các lỗ hổng phần mềm hoặc việc đánh cắp dữ liệu trực tiếp. Frost lại cho thấy ngay cả ổ cứng SSD cũng có thể bị khai thác như một kênh rò rỉ thông tin.
Người dùng không cần tải xuống tệp lạ, không cài đặt tiện ích mở rộng và cũng không cấp quyền truy cập đặc biệt. Chỉ một website độc hại cũng đủ để tạo ra cơ chế theo dõi dựa trên hoạt động của ổ cứng SSD.
Mặc dù phương pháp này chưa thể đọc nội dung trang web, mật khẩu hay dữ liệu cá nhân trực tiếp, việc xác định chính xác các trang web đang truy cập hoặc phần mềm đang sử dụng vẫn là thông tin có giá trị lớn đối với các hoạt động theo dõi người dùng.
Frost vẫn còn nhiều hạn chế
Dù gây chú ý, Frost hiện chưa phải là mối đe dọa dễ triển khai trên diện rộng. Một trong những điểm yếu lớn nhất là lượng dung lượng lưu trữ cần sử dụng trên ổ cứng SSD quá lớn. Người dùng hoàn toàn có thể nhận thấy máy tính đột nhiên mất đi hàng chục GB dung lượng trống chỉ trong thời gian ngắn.
Ngoài ra, phương pháp này chỉ phát huy hiệu quả khi hệ điều hành, ứng dụng và dữ liệu OPFS cùng nằm trên một ổ cứng SSD vật lý. Nếu hệ thống sử dụng nhiều ổ lưu trữ hoặc có cấu hình đặc biệt, độ chính xác của cuộc tấn công có thể giảm đáng kể.
Google và Apple chưa xem đây là lỗ hổng nghiêm trọng
Nhóm nghiên cứu cho biết đã thông báo phát hiện này tới Google, Apple và Mozilla trước khi công bố công khai.
Tuy nhiên, Google cho rằng đây là một dạng fingerprinting nâng cao chứ chưa đủ nghiêm trọng để được xem là lỗ hổng bảo mật lớn. Apple cũng đánh giá phương pháp này nằm ngoài phạm vi xử lý hiện tại của hãng, trong khi Mozilla chưa công bố kế hoạch vá lỗi cụ thể.
Dù vậy, Frost là minh chứng rõ ràng rằng khi các trình duyệt ngày càng mạnh mẽ, những thành phần tưởng chừng vô hại như ổ cứng SSD cũng có thể trở thành mục tiêu khai thác. Đây là lời nhắc nhở rằng quyền riêng tư trên môi trường số không chỉ phụ thuộc vào phần mềm hay mật khẩu, mà đôi khi còn liên quan trực tiếp đến cách phần cứng vận hành phía sau màn hình.
