AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Un nuevo ataque web aprovecha la temporización del SSD para espiar tu historial y aplicaciones abiertas

admin

Introducción

La superficie de ataque de los navegadores web ha vuelto a ampliarse tras la publicación de un estudio que describe un método innovador para espiar la actividad de usuarios únicamente mediante JavaScript, sin requerir permisos especiales ni la instalación de software adicional. La técnica, denominada FROST (Fingerprinting with Reduced Observations of Storage Timings), ha sido desarrollada por un equipo de investigadores de la Universidad Tecnológica de Graz. FROST explota la latencia en las operaciones de entrada/salida (I/O) del disco SSD del sistema para inferir tanto páginas web visitadas como aplicaciones en ejecución, eludiendo los tradicionales mecanismos de aislamiento del navegador.

Contexto del Incidente

Los navegadores modernos han implementado en los últimos años medidas de seguridad para evitar ataques de fingerprinting y canal lateral, como la reducción de la precisión de los temporizadores JavaScript y la compartimentación de procesos. Sin embargo, FROST demuestra que todavía existen vectores de ataque poco explorados: los recursos hardware compartidos, en este caso el subsistema de almacenamiento SSD.

El ataque no requiere la explotación de vulnerabilidades tradicionales ni la ejecución de código nativo. Basta con que la víctima acceda a una página web maliciosa y mantenga la pestaña abierta, incluso en segundo plano, para que el atacante pueda recabar información sensible sobre el comportamiento y preferencias del usuario.

Detalles Técnicos

FROST se fundamenta en el análisis estadístico de los retardos en las operaciones de almacenamiento que pueden ser medidos a través de JavaScript. El método se basa en la competición por el acceso al SSD: mientras otras aplicaciones o pestañas acceden al disco, la latencia de las operaciones realizadas desde el script malicioso varía de forma detectable.

– **CVE asociado**: Hasta la fecha de publicación, no se ha asignado un CVE específico a FROST, ya que explota una característica inherente al diseño de los navegadores y los sistemas operativos.
– **Vectores de ataque**: Navegador web; basta con visitar una web controlada por el atacante.
– **TTP MITRE ATT&CK**: Este ataque se encuadra en la técnica T1046 (Network Service Discovery) y T1207 (Rogue Software Installation), aunque introduce una variante de canal lateral a través de recursos hardware compartidos.
– **Indicadores de Compromiso (IoC)**: No existen IoC tradicionales, ya que no se requiere la instalación de malware ni extensión. La actividad sospechosa podría detectarse mediante el análisis de patrones de acceso intensivo al almacenamiento desde procesos del navegador.

El proceso de ataque consiste en lanzar múltiples operaciones de escritura/lectura desde JavaScript y medir los tiempos de respuesta. Si el usuario abre otra aplicación o página que accede al SSD, el tiempo de respuesta se incrementa. Mediante machine learning y modelos estadísticos, el atacante puede correlacionar los patrones de latencia con actividades específicas, como la apertura de aplicaciones o la visita a determinados sitios web.

Impacto y Riesgos

El alcance de FROST es relevante por varias razones:
– Puede identificar con alta precisión (según los investigadores, hasta un 96% en los escenarios de laboratorio) las páginas web abiertas en otras pestañas y las aplicaciones en ejecución.
– No requiere privilegios elevados, extensiones ni interacción adicional del usuario.
– Evade los métodos actuales de defensa en navegadores, como el sandboxing de procesos y la reducción de precisión de temporizadores.
– Permite la elaboración de perfiles de usuario, el rastreo de comportamiento y la potencial identificación de hábitos sensibles, todo ello sin dejar rastros evidentes en el sistema.

Medidas de Mitigación y Recomendaciones

Actualmente, mitigar FROST es un reto, ya que ataca a un vector fundamental en los sistemas multiusuario y multitarea. No obstante, se proponen varias acciones:
– **Reducción adicional de precisión de temporizadores**: Limitar aún más la granularidad de los temporizadores expuestos a JavaScript.
– **Aislamiento de recursos hardware**: Mejorar el aislamiento de acceso a recursos como el almacenamiento entre diferentes procesos del navegador.
– **Monitorización de patrones anómalos de I/O**: Incluir reglas en los sistemas EDR y de monitorización del endpoint para detectar accesos intensivos y atípicos al SSD por parte de procesos del navegador.
– **Actualizaciones de navegador**: Mantener los navegadores actualizados y monitorizar las futuras actualizaciones de seguridad que aborden este vector.
– **Concienciación del usuario**: Evitar mantener abiertas pestañas de sitios sospechosos o desconocidos durante períodos prolongados.

Opinión de Expertos

Especialistas en ciberseguridad han calificado el ataque FROST como un ejemplo de la sofisticación creciente de las técnicas de canal lateral y la necesidad de repensar el modelo de aislamiento de recursos hardware en los navegadores. Según Martin Schwarzl, uno de los autores del estudio, «la tendencia a ejecutar cada vez más aplicaciones en el navegador abre la puerta a ataques no tradicionales que serán difíciles de frenar sin rediseñar partes fundamentales del ecosistema web».

Implicaciones para Empresas y Usuarios

Para entornos corporativos, FROST supone un nuevo riesgo en términos de privacidad y protección de la información: un atacante podría mapear aplicaciones y servicios utilizados dentro de la empresa, identificar sesiones activas en aplicaciones críticas o incluso detectar actividad en servicios internos. Esto puede facilitar ataques de spear phishing, ingeniería social y espionaje industrial.

A nivel de cumplimiento normativo, la exposición de información sensible sin el consentimiento explícito del usuario podría contravenir reglamentos como el GDPR y directivas europeas como NIS2, incrementando la responsabilidad legal de los proveedores de navegadores y servicios web.

Conclusiones

El ataque FROST marca un hito en la evolución de los canales laterales en la web, demostrando que la compartición de recursos hardware sigue constituyendo un vector de ataque viable en 2024. La comunidad de ciberseguridad debe redoblar los esfuerzos en la investigación y mitigación de estos riesgos, colaborando con fabricantes de navegadores y sistemas operativos para garantizar la privacidad y seguridad de los usuarios ante amenazas cada vez más invisibles y sofisticadas.

(Fuente: feeds.feedburner.com)