Sebuah tim peneliti di Austria berhasil menemukan metode baru yang memungkinkan situs web mengamati aktivitas pengguna di perangkat mereka secara diam-diam. Menariknya, pendekatan ini sama sekali tidak mengandalkan cookie, skrip pelacakan klik, ataupun metode identifikasi sidik jari konvensional.
Celah keamanan ini mengeksploitasi perilaku latensi waktu dari perangkat penyimpanan Solid-State Drive (SSD) milik pengguna, seperti dikutip dari Detik iNET. Metode yang dijuluki FROST (fingerprinting remotely using OPFS-based SSD timing) tersebut memantau persaingan berbagai program dalam mendapatkan akses ke penyimpanan.
Persaingan akses tersebut meninggalkan jejak perbedaan waktu kecil yang tetap dapat diukur. Melalui pemantauan pergeseran waktu ini, tim peneliti mampu menentukan situs dan aplikasi apa saja yang sedang aktif dibuka oleh pengguna. Pendekatan ini masuk dalam kategori side-channel attack karena menyimpulkan informasi secara tidak langsung dari perilaku sistem.
Serangan FROST dapat berjalan sepenuhnya hanya dari dalam browser dengan memanfaatkan beberapa tahapan teknis. Pertama, skrip serangan mengeksploitasi Origin Private File System (OPFS) menggunakan JavaScript untuk berinteraksi dengan ruang penyimpanan terisolasi di browser.
Meskipun berada di dalam sandbox perangkat lunak, sistem ini tetap berbagi perangkat keras fisik yang sama, yaitu SSD. Selanjutnya, skrip nakal akan membuat file berukuran besar di OPFS dan membacanya secara berulang-ulang untuk merekam durasi setiap operasi.
Jika terdapat aplikasi atau tab browser lain yang aktif menggunakan SSD, waktu pembacaan file tersebut akan mengalami pergeseran. Peneliti kemudian menerapkan convolutional neural network (AI) untuk menginterpretasikan pola latensi tersebut menjadi informasi aktivitas spesifik, seperti pembukaan aplikasi chat atau website tertentu.
Keterbatasan Sistem dan Upaya Pencegahan
Sinyal pelacakan ini terbukti berfungsi lintas browser karena lebih terikat pada perilaku sistem keras secara keseluruhan. Fenomena ini menunjukkan bahwa kompleksitas browser modern yang memakan banyak sumber daya turut membuka celah kebocoran data yang tidak disengaja.
Meski mengkhawatirkan, penerapan FROST di dunia nyata masih menghadapi sejumlah keterbatasan operasional yang signifikan. Serangan ini memerlukan pembuatan file sangat besar minimal 1 GB yang berpotensi memicu peringatan ruang penyimpanan penuh atau disadari oleh pengguna.
Selain itu, pelacakan hanya berjalan jika aplikasi target berada di SSD fisik yang sama. Dalam risetnya, metode ini baru diuji coba pada sistem Apple M2 (macOS) dan Linux, serta belum diuji pada sistem operasi Windows.
Sampai saat ini, belum ada indikasi bahwa teknik tersebut telah disalahgunakan di luar lingkungan penelitian. Sebagai solusi, tim akademisi menyarankan vendor browser seperti Google dan Microsoft untuk membatasi kapasitas OPFS atau memantau pola akses penyimpanan yang mencurigakan.
Penelitian mengenai celah keamanan FROST ini dijadwalkan akan dipresentasikan secara resmi pada konferensi keamanan siber DIMVA pada bulan Juli mendatang.
