Gli scienziati della Graz University of Technology, in Austria, hanno recentemente pubblicato un documento che descrive in dettaglio un nuovo metodo per tenere traccia delle attività degli utenti tramite i browser Web. L’aspetto più affascinante di questa nuova tecnica, che è stata denominata FROST, è che si basa sull’unità SSD (solid-state drive) del computer per eseguire lo spionaggio. Senza soffermarsi sui dettagli tecnici, ecco come funziona l’attacco: un hacker attira una vittima in un sito Web appositamente predisposto; finché il sito rimane aperto, l’utente malintenzionato può tenere traccia esattamente delle app avviate dall’utente e delle altre pagine Web visitate.
Quindi, in che modo ci riesce? Il primo istinto è naturalmente quello di incolpare il browser. Ma nei browser Web moderni ogni sito Web viene eseguito in una sandbox isolata e in genere gli viene impedito di toccare altre schede, per non parlare dell’hardware effettivo del computer. Sebbene di tanto in tanto gli hacker trovino scappatoie in queste difese, non è quello che sta succedendo qui. Non è necessario che l’attacco FROST interrompa il browser; funziona perfettamente anche con tutte le misure di sicurezza standard in atto. Al contrario, dirotta una funzionalità del browser completamente legittima denominata Origin Private File System (OPFS), che offre ai siti Web il proprio spazio di archiviazione virtuale in cui archiviare i dati. Tuttavia, sebbene questo spazio di archiviazione sia isolato digitalmente, i dati vengono ancora scritti fisicamente nello stesso identico SSD utilizzato da tutte le altre app e siti Web aperti nel computer. I ricercatori hanno scoperto che se una pagina dannosa bombarda costantemente l’SSD di richieste di dati, i microscopici ritardi nell’accesso ai dati possono aiutare a mappare cos’altro è in esecuzione nel PC. Prima di addentrarci nei dettagli di come gestiscono questo problema, diamo una rapida occhiata alla teoria alla base dell’attacco.
Una rapida introduzione sugli attacchi side-channel
Il termine “side-channel” si riferisce a un metodo per spiare un computer, o anche un singolo microchip, indirettamente. Anziché intercettare i dati stessi, un utente malintenzionato potrebbe analizzare le fluttuazioni del consumo energetico, monitorare la temperatura di componenti specifici o ascoltare le radiazioni elettromagnetiche, tra le altre cose. In teoria, ciò significa che qualcuno potrebbe origliare una conversazione in una stanza semplicemente utilizzando il mouse di un computer, poiché il sensore ottico può captare le vibrazioni sonore. Allo stesso modo, osservare le fluttuazioni della velocità di clock di una CPU potrebbe consentire a un hacker di rubare una chiave di criptaggio. Anche una semplice luce LED su un lettore di badge può divulgare abbastanza dati sui meccanismi interni del dispositivo da consentire a un utente malintenzionato di clonare una smart card.
Il bello di queste fughe di dati indirette (almeno dal punto di vista di un hacker) è che non sono facili da individuare. I produttori di dispositivi raramente ne tengono conto quando creano sistemi di sicurezza. Lo svantaggio, tuttavia, è altrettanto evidente: l’estrazione delle informazioni attraverso un meccanismo che non è mai stato concepito per la trasmissione dei dati è spesso complesso, lento e laborioso. I ricercatori austriaci si sono concentrati su un sottotipo specifico noto come attacco side-channel della contesa. Questo è il punto in cui si verifica una perdita perché più processi sono in competizione per la stessa risorsa. Nella fattispecie, tale risorsa contestata è la larghezza di banda dell’unità di archiviazione.
Dentro l’attacco FROST
Questo specifico canale laterale è stato effettivamente studiato in precedenza, anche in un documento di ricerca del 2025. All’epoca, tuttavia, la configurazione era piuttosto semplice: i ricercatori eseguivano un programma in un computer che fungeva da sorgente dati, mentre un secondo programma in esecuzione sulla stessa macchina tentava di intercettare tali dati. Sebbene vada bene per uno studio accademico teorico, il modello di attacco non era esattamente rivoluzionario. Dopotutto, se un hacker può già eseguire qualsiasi programma desideri, non è necessario fare affidamento su complessi canali secondari: hanno molti modi diretti per rubare i dati.
Tuttavia, lo studio dell’anno scorso non è stata una completa perdita di tempo. Ha dimostrato che la risoluzione ottenuta dal monitoraggio di un’unità SSD è piuttosto elevata, la fuga di dati è reale e le informazioni acquisite possono essere effettivamente utili. L’attacco FROST è essenzialmente una logica continuazione della stessa idea.
Ecco come funziona in pratica. Diciamo che su un SSD pieno di dati casuali è presente un file di grandi dimensioni. Un processo specifico legge questi dati a intervalli regolari e calcola la velocità con cui ottiene una risposta. Questa velocità varia a seconda di quanto è impegnata l’unità con altre attività. Questi ritardi di accesso sono segnali rivelatori dell’attività dell’unità. I ricercatori austriaci hanno dimostrato che tracciare questi ritardi nel tempo può aiutare a individuare con ragionevole precisione quale altra attività è in esecuzione nel computer in quel preciso momento.

Pattern di latenza distinti generati durante l’apertura di siti Web specifici Fonte
I ricercatori hanno mappato i grafici della latenza, come quelli mostrati sopra, per un’ampia varietà di siti Web e app eseguite in locale. Hanno trovato modelli distinti (o fingerprint digitali) generati ogni volta che viene caricato un sito specifico o viene avviata un’app. L’acquisizione di queste finestre di avvio o di caricamento di una frazione di secondo richiede il monitoraggio continuo dell’SSD per un lungo periodo di tempo. Tuttavia, questi modelli si sono rivelati notevolmente coerenti nei diversi sistemi; gli autori hanno testato con successo il proprio metodo sia su un desktop Linux che su un Apple Mac Mini. Da lì, il passaggio successivo sembra abbastanza semplice: prendere un catalogo di fingerprint note, misurare i ritardi degli SSD nel mondo reale, abbinare i due e così sarà possibile sapere esattamente quali app sta aprendo l’utente e quali siti sta visitando. Ma come realizzare effettivamente questo tipo di sorveglianza sotto il radar, senza installare malware nel computer della vittima?
Ed è qui che entra in gioco una funzionalità del browser relativamente nuova denominata Origin Private File System (OPFS). Un ipotetico utente malintenzionato non deve necessariamente indurre l’utente a scaricare un Trojan sospetto. È sufficiente che la vittima visiti una pagina Web appositamente predisposta e tale pagina sfrutterà l’OPFS per tenere traccia senza problemi dell’attività dell’SSD. L’intelligente acronimo riunisce tutte queste parti mobili: FROST è l’acronimo di Fingerprinting Remotely che utilizza SSD Timing basato su OPFS. Ecco la suddivisione dettagliata dell’esecuzione dell’intero attacco:

Come è possibile utilizzare il metodo FROST per spiare l’attività di un computer Fonte
Limitazioni del metodo sorgente
Come qualsiasi attacco side-channel, FROST non è esattamente progettato per la velocità. È un processo lento e metodico. Per capire quanto sia lento, i ricercatori hanno costruito un banco di prova dedicato per misurarlo.

Configurazione del banco di prova per misurare la velocità di estrazione dei dati tramite OPFS Fonte
Il team ha eseguito un programma in un computer per trasmettere i dati indirettamente. Immaginatela come una spia digitale che trasmette un messaggio segreto modificando il modo in cui interagisce con il disco rigido. Ad esempio, un 1 nel codice del messaggio binario potrebbe significare che il programma sta utilizzando attivamente l’SSD, mentre uno 0 significa che è inattivo. Allo stesso tempo, hanno configurato un ricevitore all’interno del browser Web che accedeva all’unità di archiviazione tramite OPFS. Poiché sia il ricevitore del browser che il programma trasmettitore erano in competizione per la larghezza di banda dell’SSD, il browser presentava piccoli ritardi di velocità ogni volta che il trasmettitore inviava attivamente dati.
Questa bizzarra configurazione è riuscita a trasmettere dati a 661 bit al secondo, con una precisione di quasi il 90% su un desktop Linux con processore AMD. Su un Apple Mac Mini con macOS, la velocità di trasferimento ha raggiunto i 719 bit al secondo, oscillando anche intorno al 90% di precisione. Sebbene questi numeri siano leggermente inferiori a quelli dello studio dell’anno scorso, che si basava sulle app installate direttamente nel computer, il divario non è in realtà enorme.
Detto questo, la vera minaccia dell’attacco FROST non è la trasmissione di dati non elaborati, quanto il tracciamento delle attività dell’utente. Anche se un hacker dispone di un database di impronte digitali per app e siti Web specifici, le informazioni divulgate tramite un sito dannoso utilizzando OPFS sono troppo rumorose. Dopotutto, un computer legge e scrive costantemente dati da/verso l’SSD in background. Per tagliare quel rumore digitale, i ricercatori si sono rivolti a uno strumento che sta diventando una pratica standard nei moderni attacchi informatici: una rete neurale. L’IA addestrata sulle fingerprint SSD note è in grado di rilevare con sicurezza l’attività dell’utente anche da un caotico disordine di dati in background. I risultati finali sono rivelatori. Sull’Apple Mac Mini, l’IA ha identificato con precisione quale sito Web l’utente ha aperto l’89% delle volte e ha bloccato gli avvii locali delle app con una precisione del 96%. Fondamentalmente, potrebbe persino rilevare quali siti Web sono stati aperti in un browser completamente diverso da quello in esecuzione nella scheda dei siti Web dannosi. Sembra un fuoricampo per gli hacker, ad eccezione di un enorme elenco di acquisizioni nel mondo reale.
L’attacco FROST è una minaccia nel mondo reale?
Il semplice fatto di sapere quali app sono aperte o quali siti Web sono visitati non offre molto a un utente malintenzionato. Questo tipo di dati è in genere utile per gli inserzionisti che desiderano creare il profilo digitale di un utente senza la sua autorizzazione; tuttavia, implementare questo metodo di tracciamento su vasta scala non è affatto realistico. Il problema risiede nel modo fondamentale in cui i computer gestiscono i dati: il sistema scarica regolarmente nella RAM i dati a cui si accede più di frequente. Poiché l’intero attacco FROST si basa sulla misurazione della larghezza di banda relativamente lenta dell’SSD fisico, i dati nella RAM sono effettivamente invisibili a questo metodo. Per aggirare questo ostacolo, la pagina Web dannosa dovrebbe forzare l’OPFS a creare un file di grandi dimensioni, superiore al gigabyte. Inutile dire che un sito Web che monopolizza le risorse del disco rigido in un modo così aggressivo sarebbe sicuramente un campanello d’allarme. Le soluzioni EDR o XDR molto probabilmente lo contrassegneranno come attività anomala.
In definitiva, ciò significa che l’attacco FROST, come la maggior parte dei metodi di spionaggio side-channel, è utilizzabile solo per operazioni altamente mirate. Ma questo ci riporta al punto di partenza: sapere quali app apre un utente o quali pagine Web esplora è una misera ricompensa per l’enorme sforzo richiesto per realizzare un’acrobazia così sofisticata.
Ciononostante, FROST è anni luce avanti rispetto alla maggior parte degli attacchi accademici dei canali secondari in termini di praticità nel mondo reale. Non richiede malware preinstallato e la vittima non deve fare altro che aprire una pagina dannosa. Se non altro, questa ricerca è un duro promemoria di quanto siano complessi i computer moderni e di quanti punti ciechi imprevisti possono causare fughe di dati. Quando si creano sistemi ultra-sicuri per dati altamente riservati, è necessario tenere conto delle peculiarità dell’hardware. Se il premio è sufficientemente elevato, un certo utente malintenzionato investirà volentieri il tempo necessario per creare un attacco complesso iperspecifico. Ricerche come questa servono come prova che, nel mondo della sicurezza informatica, quello specifico scenario non è impossibile.
attacchi side-channel
Consigli