FROST-Angriff: Neue Sicherheitslücke spioniert Websites aus

Forscher der TU Graz und Liebherr-Transportation Systems haben eine neue Sicherheitslücke aufgedeckt, die Websites eine Überwachung von Nutzeraktivitäten ermöglicht – ohne Malware oder spezielle Berechtigungen.

Die als FROST-Angriff (Fingerprinting Remotely using OPFS-based SSD Timing) bezeichnete Methode nutzt hardwarebasierte Seitenkanäle aus. Sie identifiziert besuchte Websites und aktive Anwendungen, indem sie die Leistung des Solid-State-Drives (SSD) eines Geräts misst. Das Besondere: Selbst Inkognito-Modus, VPNs oder geleerte Browser-Caches bieten keinen Schutz.

Da herkömmliche Schutzmaßnahmen wie VPNs bei neuartigen Bedrohungen wie dem FROST-Angriff versagen, müssen Unternehmen ihre IT-Sicherheitsstrategie proaktiv anpassen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Cyberrisiken Unternehmer jetzt kennen müssen. Gratis Cyber-Security-Leitfaden jetzt herunterladen

So funktioniert der Angriff

Der Angriff greift auf das Origin Private File System (OPFS) zurück – eine Schnittstelle moderner Webbrowser. Über JavaScript führen die Angreifer Ein- und Ausgabeoperationen durch und messen dabei Mikroverzögerungen beim SSD-Zugriff. Diese winzigen Zeitunterschiede erzeugen einen einzigartigen Hardware-Fingerabdruck.

Die Tests auf einem Apple M2 Mac Mini mit 8 GB RAM und 256 GB Speicher zeigten: Ein OPFS-File, das größer als der Arbeitsspeicher ist – manchmal bis zu 60 Prozent der Festplatte belegend – zwingt den Browser zur direkten Interaktion mit der SSD. So lassen sich Latenzzeiten präzise messen. Während die Forscher bestätigten, dass die Messungen auch unter Linux funktionieren, konzentrierten sich die vollständigen Klassifikationstests auf macOS. Windows-Systeme wurden bislang nicht getestet.

Hohe Trefferquote bei der Erkennung

Das Forschungsteam setzte Convolutional Neural Networks (CNN) zur Analyse der Zeitdaten ein. Die Ergebnisse sind beeindruckend: Der FROST-Angriff erreichte einen F1-Score von 88,95 Prozent bei der Identifikation von Websites in einer geschlossenen Testumgebung und 86,95 Prozent in offenen Szenarien.

Noch präziser arbeitet die Methode bei der Erkennung anderer Software auf dem Rechner. Die Forscher berichten von einer 95,83-prozentigen Genauigkeit bei der Identifikation von zehn spezifischen macOS-Anwendungen. Der Angriff funktioniert browserunabhängig – die Leistungsunterschiede zwischen Google Chrome und Apple Safari betrugen lediglich rund 3,38 Prozent.

Die Technik lässt sich sogar als verdeckter Kanal für Datentransfers nutzen. Die Forscher erzielten Übertragungsraten von 661,63 Bit pro Sekunde unter Linux und 891,77 Bit pro Sekunde unter macOS.

Reaktionen der Browser-Entwickler

Die großen Browser-Anbieter Google, Apple und Mozilla wurden über die Sicherheitslücke informiert. Die Reaktionen fallen unterschiedlich aus:

Google und das Chromium-Projekt sehen in der Methode kein primäres Sicherheitsproblem. Apple prüft mögliche Gegenmaßnahmen. Mozilla verweist auf die bestehenden Speicherlimits pro Website in Firefox, die den Angriff erschweren dürften.

Was Nutzer jetzt tun können

Branchenexperten empfehlen als Schutzmaßnahmen die Reduzierung der Präzision hochauflösender Timer im Browser oder die Einführung künstlicher Störungen in den Zeitdaten. Nutzer können aktuelle FROST-Aktivitäten erkennen, indem sie auf unerklärlichen Speicherplatzverlust achten oder verdächtige Browser-Tabs schließen, um den Messprozess zu stoppen.

Bislang hat sich kein Browser-Hersteller zu einem konkreten Update zur vollständigen Blockade der Technik verpflichtet.

de | wissenschaft | 69443941 |