FROST-Angriff: Forscher spionieren Browsing via SSD-Timing aus

Die als FROST (Fingerprinting Remotely using OPFS-based SSD Timing) bezeichnete Technik nutzt die zeitlichen Verzögerungen bei SSD-Zugriffen, um herauszufinden, welche anderen Tabs oder Programme auf dem Rechner geöffnet sind.

Angriffe wie FROST zeigen, dass Cyberkriminelle immer raffiniertere Wege nutzen, um Sicherheitsvorkehrungen zu umgehen. Wie Sie Ihre Firma proaktiv vor aktuellen Bedrohungen und neuen Risiken schützen, erfahren Sie in diesem kostenlosen E-Book. Experten-Leitfaden für IT-Sicherheit jetzt kostenlos herunterladen

So funktioniert der heimliche Datenklau

Der Angriff macht sich die Origin Private File System (OPFS) API zunutze – eine standardmäßige Browser-Funktion. Eine bösartige Webseite legt damit eine riesige temporäre Datei auf der SSD des Opfers an. Die Forscher berichten, dass diese Datei meist größer als ein Gigabyte sein muss, in manchen Fällen belegt sie bis zu 60 Prozent des verfügbaren Speicherplatzes.

Per JavaScript führt die Seite dann winzige Leseoperationen von 4 Kilobyte durch und misst, wie lange die SSD dafür braucht. Der Haken: SSDs haben nur eine begrenzte Bandbreite. Greifen andere Programme oder Browser-Tabs gleichzeitig auf die Festplatte zu, steigen die Zugriffszeiten spürbar an.

Ein neuronales Netz (Convolutional Neural Network) analysiert diese zeitlichen Schwankungen und identifiziert die charakteristischen „Fingerabdrücke“ bestimmter Webseiten oder Anwendungen. Das Tückische: Der Angriff benötigt keine speziellen Benutzerrechte und funktioniert browserübergreifend – unter anderem in Chrome und Safari.

Trefferquote auf beeindruckendem Niveau

Das Forschungsteam testete FROST auf verschiedenen Betriebssystemen mit unterschiedlichem Erfolg. Eine vollständige Umsetzung gelang auf einem Mac mit M2-Chip. Erste Tests unter Linux zeigen, dass der Mechanismus grundsätzlich funktioniert. Windows wurde bislang nicht getestet.

Die Ergebnisse sind alarmierend: Auf dem Mac erreichte die Methode einen F1-Wert von 95,83 Prozent bei der Identifizierung von zehn getesteten Anwendungen. Bei der Erkennung von Webseiten lag die Trefferquote im geschlossenen Szenario bei 88,95 Prozent, im offenen Szenario bei 86,95 Prozent.

Die Forscher zeigten zudem, dass sich FROST als verdeckter Kommunikationskanal nutzen lässt. Auf dem Mac erreichten sie Datenübertragungsraten von 891,77 Bit pro Sekunde, unter Linux immerhin 661,63 Bit pro Sekunde.

Reaktion der Browser-Hersteller

Die Wissenschaftler haben die großen Browser-Anbieter bereits über die Sicherheitslücke informiert – mit gemischtem Echo. Google wies die Erkenntnisse zurück und erklärte, das Verhalten stelle keinen Sicherheitsfehler dar. Apple und Mozilla haben die Forschung zwar zur Kenntnis genommen, bislang aber keinen offiziellen Patch veröffentlicht.

Da Hersteller oft verzögert auf neue Schwachstellen reagieren, müssen Unternehmer selbst aktiv werden, um ihre sensiblen Daten zu sichern. Dieser Report klärt auf, welche rechtlichen Pflichten und technischen Bedrohungen Sie jetzt kennen müssen. Gratis-Report zu neuen Cyberrisiken anfordern

Bislang gibt es keine Hinweise darauf, dass FROST bereits in freier Wildbahn eingesetzt wurde. Branchenexperten vermuten allerdings, dass diese Entdeckung die Regulierungsbehörden dazu bewegen könnte, neue Datenschutzregeln für hardwarebasierte Seitenkanal-Angriffe zu erlassen.

Was Nutzer jetzt tun können

Bis offizielle Software-Updates verfügbar sind, empfehlen Experten mehrere Schutzmaßnahmen: Nicht benötigte Browser-Tabs schließen, um die Angriffsfläche zu verkleinernd, und die maximale Dateigröße einschränken, die die OPFS-API anlegen darf. Auch die Begrenzung hochpräziser Timer im Browser könnte es JavaScript erschweren, die SSD-Latenz genau zu messen.

Das Forschungsteam wird seine Ergebnisse im Juli 2026 auf der DIMVA-Konferenz vorstellen.

de | wissenschaft | 69434782 |