{"id":30824,"date":"2026-07-02T15:25:35","date_gmt":"2026-07-02T13:25:35","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30824"},"modified":"2026-07-02T15:25:35","modified_gmt":"2026-07-02T13:25:35","slug":"frost-fingerprinting-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/frost-fingerprinting-attack\/30824\/","title":{"rendered":"L&#8217;attacco FROST: in che modo i ritardi di accesso agli SSD espongono l&#8217;attivit\u00e0 degli utenti"},"content":{"rendered":"<p>Gli scienziati della Graz University of Technology, in Austria, hanno recentemente pubblicato un <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf\" target=\"_blank\" rel=\"noopener nofollow\">documento<\/a> che descrive in dettaglio un nuovo metodo per tenere traccia delle attivit\u00e0 degli utenti tramite i browser Web. L\u2019aspetto pi\u00f9 affascinante di questa nuova tecnica, che \u00e8 stata denominata FROST, \u00e8 che si basa sull\u2019unit\u00e0 SSD (solid-state drive) del computer per eseguire lo spionaggio. Senza soffermarsi sui dettagli tecnici, ecco come funziona l\u2019attacco: un hacker attira una vittima in un sito Web appositamente predisposto; finch\u00e9 il sito rimane aperto, l\u2019utente malintenzionato pu\u00f2 tenere traccia esattamente delle app avviate dall\u2019utente e delle altre pagine Web visitate.<\/p>\n<p>Quindi, in che modo ci riesce? Il primo istinto \u00e8 naturalmente quello di incolpare il browser. Ma nei browser Web moderni ogni sito Web viene eseguito in una sandbox isolata e in genere gli viene impedito di toccare altre schede, per non parlare dell\u2019hardware effettivo del computer. Sebbene di tanto in tanto gli hacker trovino scappatoie in queste difese, non \u00e8 quello che sta succedendo qui. Non \u00e8 necessario che l\u2019attacco FROST interrompa il browser; funziona perfettamente anche con tutte le misure di sicurezza standard in atto. Al contrario, dirotta una funzionalit\u00e0 del browser completamente legittima denominata Origin Private File System (OPFS), che offre ai siti Web il proprio spazio di archiviazione virtuale in cui archiviare i dati. Tuttavia, sebbene questo spazio di archiviazione sia isolato digitalmente, i dati vengono ancora scritti fisicamente nello stesso identico SSD utilizzato da tutte le altre app e siti Web aperti nel computer. I ricercatori hanno scoperto che se una pagina dannosa bombarda costantemente l\u2019SSD di richieste di dati, i microscopici ritardi nell\u2019accesso ai dati possono aiutare a mappare cos\u2019altro \u00e8 in esecuzione nel PC. Prima di addentrarci nei dettagli di come gestiscono questo problema, diamo una rapida occhiata alla teoria alla base dell\u2019attacco.<\/p>\n<h2>Una rapida introduzione sugli attacchi side-channel<\/h2>\n<p>Il termine \u201cside-channel\u201d si riferisce a un metodo per spiare un computer, o anche un singolo microchip, indirettamente. Anzich\u00e9 intercettare i dati stessi, un utente malintenzionato potrebbe analizzare le fluttuazioni del consumo energetico, monitorare la temperatura di componenti specifici o ascoltare le radiazioni elettromagnetiche, tra le altre cose. In teoria, ci\u00f2 significa che qualcuno potrebbe <a href=\"https:\/\/www.kaspersky.com\/blog\/mic-e-mouse-attack\/54659\/\" target=\"_blank\" rel=\"noopener nofollow\">origliare una conversazione<\/a> in una stanza semplicemente utilizzando il mouse di un computer, poich\u00e9 il sensore ottico pu\u00f2 captare le vibrazioni sonore. Allo stesso modo, osservare le fluttuazioni della velocit\u00e0 di clock di una CPU potrebbe consentire a un hacker di <a href=\"https:\/\/www.kaspersky.com\/blog\/hertzbleed-attack\/44824\/\" target=\"_blank\" rel=\"noopener nofollow\">rubare una chiave di criptaggio<\/a>. Anche una semplice luce LED su un lettore di badge pu\u00f2 divulgare <a href=\"https:\/\/www.kaspersky.com\/blog\/led-data-exfiltration\/48523\/\" target=\"_blank\" rel=\"noopener nofollow\">abbastanza dati<\/a> sui meccanismi interni del dispositivo da consentire a un utente malintenzionato di clonare una smart card.<\/p>\n<p>Il bello di queste fughe di dati indirette (almeno dal punto di vista di un hacker) \u00e8 che non sono facili da individuare. I produttori di dispositivi raramente ne tengono conto quando creano sistemi di sicurezza. Lo svantaggio, tuttavia, \u00e8 altrettanto evidente: l\u2019estrazione delle informazioni attraverso un meccanismo che non \u00e8 mai stato concepito per la trasmissione dei dati \u00e8 spesso complesso, lento e laborioso. I ricercatori austriaci si sono concentrati su un sottotipo specifico noto come attacco side-channel della contesa. Questo \u00e8 il punto in cui si verifica una perdita perch\u00e9 pi\u00f9 processi sono in competizione per la stessa risorsa. Nella fattispecie, tale risorsa contestata \u00e8 la larghezza di banda dell\u2019unit\u00e0 di archiviazione.<\/p>\n<h2>Dentro l\u2019attacco FROST<\/h2>\n<p>Questo specifico canale laterale \u00e8 stato effettivamente studiato in precedenza, anche in un <a href=\"https:\/\/arxiv.org\/pdf\/2411.10883\" target=\"_blank\" rel=\"noopener nofollow\">documento di ricerca<\/a> del 2025. All\u2019epoca, tuttavia, la configurazione era piuttosto semplice: i ricercatori eseguivano un programma in un computer che fungeva da sorgente dati, mentre un secondo programma in esecuzione sulla stessa macchina tentava di intercettare tali dati. Sebbene vada bene per uno studio accademico teorico, il modello di attacco non era esattamente rivoluzionario. Dopotutto, se un hacker pu\u00f2 gi\u00e0 eseguire qualsiasi programma desideri, non \u00e8 necessario fare affidamento su complessi canali secondari: hanno molti modi diretti per rubare i dati.<\/p>\n<p>Tuttavia, lo studio dell\u2019anno scorso non \u00e8 stata una completa perdita di tempo. Ha dimostrato che la risoluzione ottenuta dal monitoraggio di un\u2019unit\u00e0 SSD \u00e8 piuttosto elevata, la fuga di dati \u00e8 reale e le informazioni acquisite possono essere effettivamente utili. L\u2019attacco FROST \u00e8 essenzialmente una logica continuazione della stessa idea.<\/p>\n<p>Ecco come funziona in pratica. Diciamo che su un SSD pieno di dati casuali \u00e8 presente un file di grandi dimensioni. Un processo specifico legge questi dati a intervalli regolari e calcola la velocit\u00e0 con cui ottiene una risposta. Questa velocit\u00e0 varia a seconda di quanto \u00e8 impegnata l\u2019unit\u00e0 con altre attivit\u00e0. Questi ritardi di accesso sono segnali rivelatori dell\u2019attivit\u00e0 dell\u2019unit\u00e0. I ricercatori austriaci hanno dimostrato che tracciare questi ritardi nel tempo pu\u00f2 aiutare a individuare con ragionevole precisione quale altra attivit\u00e0 \u00e8 in esecuzione nel computer in quel preciso momento.<\/p>\n<div id=\"attachment_30825\" style=\"width: 1471px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-30825\" class=\"wp-image-30825 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2026\/07\/02151327\/frost-fingerprinting-attack-delays.jpg\" alt=\"Grafici del ritardo\" width=\"1461\" height=\"831\"><p id=\"caption-attachment-30825\" class=\"wp-caption-text\">Pattern di latenza distinti generati durante l\u2019apertura di siti Web specifici <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf%20\" target=\"_blank\" rel=\"noopener nofollow\"> Fonte <\/a><\/p><\/div>\n<p>I ricercatori hanno mappato i grafici della latenza, come quelli mostrati sopra, per un\u2019ampia variet\u00e0 di siti Web e app eseguite in locale. Hanno trovato modelli distinti (o fingerprint digitali) generati ogni volta che viene caricato un sito specifico o viene avviata un\u2019app. L\u2019acquisizione di queste finestre di avvio o di caricamento di una frazione di secondo richiede il monitoraggio continuo dell\u2019SSD per un lungo periodo di tempo. Tuttavia, questi modelli si sono rivelati notevolmente coerenti nei diversi sistemi; gli autori hanno testato con successo il proprio metodo sia su un desktop Linux che su un Apple Mac Mini. Da l\u00ec, il passaggio successivo sembra abbastanza semplice: prendere un catalogo di fingerprint note, misurare i ritardi degli SSD nel mondo reale, abbinare i due e cos\u00ec sar\u00e0 possibile sapere esattamente quali app sta aprendo l\u2019utente e quali siti sta visitando. Ma come realizzare effettivamente questo tipo di sorveglianza sotto il radar, senza installare malware nel computer della vittima?<\/p>\n<p>Ed \u00e8 qui che entra in gioco una funzionalit\u00e0 del browser relativamente nuova denominata Origin Private File System (OPFS). Un ipotetico utente malintenzionato non deve necessariamente indurre l\u2019utente a scaricare un Trojan sospetto. \u00c8 sufficiente che la vittima visiti una pagina Web appositamente predisposta e tale pagina sfrutter\u00e0 l\u2019OPFS per tenere traccia senza problemi dell\u2019attivit\u00e0 dell\u2019SSD. L\u2019intelligente acronimo riunisce tutte queste parti mobili: FROST \u00e8 l\u2019acronimo di Fingerprinting Remotely che utilizza SSD Timing basato su OPFS. Ecco la suddivisione dettagliata dell\u2019esecuzione dell\u2019intero attacco:<\/p>\n<div id=\"attachment_30826\" style=\"width: 1534px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-30826\" class=\"wp-image-30826 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2026\/07\/02151432\/frost-fingerprinting-attack-scheme.jpg\" alt=\"Il flusso di lavoro dell'attacco FROST\" width=\"1524\" height=\"817\"><p id=\"caption-attachment-30826\" class=\"wp-caption-text\">Come \u00e8 possibile utilizzare il metodo FROST per spiare l\u2019attivit\u00e0 di un computer <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf%20\" target=\"_blank\" rel=\"noopener nofollow\"> Fonte <\/a><\/p><\/div>\n<h2>Limitazioni del metodo sorgente<\/h2>\n<p>Come qualsiasi attacco side-channel, FROST non \u00e8 esattamente progettato per la velocit\u00e0. \u00c8 un processo lento e metodico. Per capire quanto sia lento, i ricercatori hanno costruito un banco di prova dedicato per misurarlo.<\/p>\n<div id=\"attachment_30827\" style=\"width: 1679px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-30827\" class=\"wp-image-30827 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2026\/07\/02151524\/frost-fingerprinting-attack-test.jpg\" alt=\"Configurazione del banco di prova FROST\" width=\"1669\" height=\"600\"><p id=\"caption-attachment-30827\" class=\"wp-caption-text\">Configurazione del banco di prova per misurare la velocit\u00e0 di estrazione dei dati tramite OPFS <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf%20\" target=\"_blank\" rel=\"noopener nofollow\"> Fonte <\/a><\/p><\/div>\n<p>Il team ha eseguito un programma in un computer per trasmettere i dati indirettamente. Immaginatela come una spia digitale che trasmette un messaggio segreto modificando il modo in cui interagisce con il disco rigido. Ad esempio, un 1 nel codice del messaggio binario potrebbe significare che il programma sta utilizzando attivamente l\u2019SSD, mentre uno 0 significa che \u00e8 inattivo. Allo stesso tempo, hanno configurato un ricevitore all\u2019interno del browser Web che accedeva all\u2019unit\u00e0 di archiviazione tramite OPFS. Poich\u00e9 sia il ricevitore del browser che il programma trasmettitore erano in competizione per la larghezza di banda dell\u2019SSD, il browser presentava piccoli ritardi di velocit\u00e0 ogni volta che il trasmettitore inviava attivamente dati.<\/p>\n<p>Questa bizzarra configurazione \u00e8 riuscita a trasmettere dati a 661 bit al secondo, con una precisione di quasi il 90% su un desktop Linux con processore AMD. Su un Apple Mac Mini con macOS, la velocit\u00e0 di trasferimento ha raggiunto i 719 bit al secondo, oscillando anche intorno al 90% di precisione. Sebbene questi numeri siano leggermente inferiori a quelli dello studio dell\u2019anno scorso, che si basava sulle app installate direttamente nel computer, il divario non \u00e8 in realt\u00e0 enorme.<\/p>\n<p>Detto questo, la vera minaccia dell\u2019attacco FROST non \u00e8 la trasmissione di dati non elaborati, quanto il tracciamento delle attivit\u00e0 dell\u2019utente. Anche se un hacker dispone di un database di impronte digitali per app e siti Web specifici, le informazioni divulgate tramite un sito dannoso utilizzando OPFS sono troppo rumorose. Dopotutto, un computer legge e scrive costantemente dati da\/verso l\u2019SSD in background. Per tagliare quel rumore digitale, i ricercatori si sono rivolti a uno strumento che sta diventando una pratica standard nei moderni attacchi informatici: una rete neurale. L\u2019IA addestrata sulle fingerprint SSD note \u00e8 in grado di rilevare con sicurezza l\u2019attivit\u00e0 dell\u2019utente anche da un caotico disordine di dati in background. I risultati finali sono rivelatori. Sull\u2019Apple Mac Mini, l\u2019IA ha identificato con precisione quale sito Web l\u2019utente ha aperto l\u201989% delle volte e ha bloccato gli avvii locali delle app con una precisione del 96%. Fondamentalmente, potrebbe persino rilevare quali siti Web sono stati aperti in un browser completamente diverso da quello in esecuzione nella scheda dei siti Web dannosi. Sembra un fuoricampo per gli hacker, ad eccezione di un enorme elenco di acquisizioni nel mondo reale.<\/p>\n<h2>L\u2019attacco FROST \u00e8 una minaccia nel mondo reale?<\/h2>\n<p>Il semplice fatto di sapere quali app sono aperte o quali siti Web sono visitati non offre molto a un utente malintenzionato. Questo tipo di dati \u00e8 in genere utile per gli inserzionisti che desiderano creare il profilo digitale di un utente senza la sua autorizzazione; tuttavia, implementare questo metodo di tracciamento su vasta scala non \u00e8 affatto realistico. Il problema risiede nel modo fondamentale in cui i computer gestiscono i dati: il sistema scarica regolarmente nella RAM i dati a cui si accede pi\u00f9 di frequente. Poich\u00e9 l\u2019intero attacco FROST si basa sulla misurazione della larghezza di banda relativamente lenta dell\u2019SSD fisico, i dati nella RAM sono effettivamente invisibili a questo metodo. Per aggirare questo ostacolo, la pagina Web dannosa dovrebbe forzare l\u2019OPFS a creare un file di grandi dimensioni, superiore al gigabyte. Inutile dire che un sito Web che monopolizza le risorse del disco rigido in un modo cos\u00ec aggressivo sarebbe sicuramente un campanello d\u2019allarme. <a href=\"https:\/\/www.kaspersky.it\/next?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kdaily_prodmen_sm-team___knext___\" target=\"_blank\" rel=\"noopener\">Le soluzioni EDR o XDR<\/a> molto probabilmente lo contrassegneranno come attivit\u00e0 anomala.<\/p>\n<p>In definitiva, ci\u00f2 significa che l\u2019attacco FROST, come la maggior parte dei metodi di spionaggio side-channel, \u00e8 utilizzabile solo per operazioni altamente mirate. Ma questo ci riporta al punto di partenza: sapere quali app apre un utente o quali pagine Web esplora \u00e8 una misera ricompensa per l\u2019enorme sforzo richiesto per realizzare un\u2019acrobazia cos\u00ec sofisticata.<\/p>\n<p>Ciononostante, FROST \u00e8 anni luce avanti rispetto alla maggior parte degli attacchi accademici dei canali secondari in termini di praticit\u00e0 nel mondo reale. Non richiede malware preinstallato e la vittima non deve fare altro che aprire una pagina dannosa. Se non altro, questa ricerca \u00e8 un duro promemoria di quanto siano complessi i computer moderni e di quanti punti ciechi imprevisti possono causare fughe di dati. Quando si creano sistemi ultra-sicuri per dati altamente riservati, \u00e8 necessario tenere conto delle peculiarit\u00e0 dell\u2019hardware. Se il premio \u00e8 sufficientemente elevato, un certo utente malintenzionato investir\u00e0 volentieri il tempo necessario per creare un attacco complesso iperspecifico. Ricerche come questa servono come prova che, nel mondo della sicurezza informatica, quello specifico scenario non \u00e8 impossibile.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\">\n","protected":false},"excerpt":{"rendered":"<p>Ricercatori austriaci hanno scoperto un nuovo e bizzarro modo in cui gli hacker possono rubare dati sensibili.<\/p>\n","protected":false},"author":665,"featured_media":30828,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[3894,1619,3953],"class_list":{"0":"post-30824","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-attacchi-side-channel","11":"tag-hardware","12":"tag-ssd"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/frost-fingerprinting-attack\/30824\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/frost-fingerprinting-attack\/30818\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/frost-fingerprinting-attack\/25859\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/frost-fingerprinting-attack\/30661\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/frost-fingerprinting-attack\/29322\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/frost-fingerprinting-attack\/32274\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/frost-fingerprinting-attack\/42049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/frost-fingerprinting-attack\/55970\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/frost-fingerprinting-attack\/25138\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/frost-fingerprinting-attack\/33662\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/frost-fingerprinting-attack\/30761\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/frost-fingerprinting-attack\/36329\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/frost-fingerprinting-attack\/36219\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/attacchi-side-channel\/","name":"attacchi side-channel"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30824","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30824"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30824\/revisions"}],"predecessor-version":[{"id":30829,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30824\/revisions\/30829"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30828"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30824"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30824"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30824"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}