SSD Etkinliklerini Analiz Ederek Kullanıcıları Takip Eden Yeni FROST Saldırısı Yöntemi Keşfedildi
Graz Teknoloji Üniversitesi’nden bir araştırma ekibi, SSD’lerin giriş-çıkış gecikmelerini tarayıcı üzerinden analiz ederek kullanıcıların cihazlarındaki aktif uygulamaları ve ziyaret ettikleri web sitelerini tespit edebilen yeni bir yan kanal saldırısı olan FROST saldırısı yöntemini ortaya çıkardı. Yöntem, herhangi bir ek yazılım kurulumu gerektirmeden yalnızca standart JavaScript kodlarıyla çalışıyor.
FROST Saldırısı Nasıl Çalışıyor?
Saldırının temelinde, katı hal sürücülerinde oluşan okuma ve yazma gecikmelerinin ölçülmesi yatıyor. Kötü niyetli bir web sitesi, tarayıcının Origin Private File System (OPFS) altyapısını kullanarak en az 1 GB boyutunda büyük bir sanal dosya oluşturuyor. Site açık kaldığı sürece bu dosya üzerinde durmaksızın rastgele okuma işlemleri yapılıyor. Kullanıcı aynı anda başka bir uygulama çalıştırdığında veya farklı bir sekmeyi aktif hale getirdiğinde, SSD üzerinde ek bir yük meydana geliyor. Bu donanımsal çekişme, saldırganın gerçekleştirdiği okuma işlemlerinde milisaniyeler seviyesinde gecikmelere yol açıyor.
Oluşan bu zamanlama farkları, önceden eğitilmiş bir evrişimli sinir ağı (CNN) modeline besleniyor. Yapay zeka, gecikme desenlerini analiz ederek hangi uygulamanın çalıştığını ya da hangi web sitesine göz atıldığını sınıflandırabiliyor. Araştırmacıların paylaştığı test sonuçlarına göre FROST saldırısı, kapalı laboratuvar ortamında uygulama tespitinde yüzde 95’in üzerinde, web sitesi tespitinde ise yüzde 88 seviyesinde doğruluk oranına ulaştı.
Saldırının Sınırları ve Fark Edilme Olasılığı
Saldırının geniş kitlelere uygulanmasını zorlaştıran birkaç kritik kısıtlama bulunuyor. Öncelikle yöntemin kararlı çalışabilmesi için oluşturulan OPFS dosyasının boyutunun en az 1 gigabayt olması şart. Bu denli büyük bir dosyanın tarayıcı önbelleğinde yer kaplaması, sistem kaynaklarını takip eden bilinçli kullanıcıların durumu fark etmesini mümkün kılıyor.
Bir diğer önemli engel ise depolama birimiyle ilgili. Takip edilmek istenen uygulamaların, tarayıcının kullandığı SSD ile aynı fiziksel sürücüde bulunması gerekiyor. İşletim sistemi veya hedef yazılımlar farklı bir diskte çalışıyorsa saldırı tamamen etkisiz kalıyor. Şu ana kadar yapılan incelemelerde, FROST saldırısı yönteminin gerçek dünyada herhangi bir siber saldırıda kullanıldığına dair bir bulguya da rastlanmadı.
Hangi Sistemler Risk Altında?
Araştırma ekibi tüm test senaryolarını M2 işlemcili bir Mac bilgisayar üzerinde gerçekleştirdi. Linux dağıtımlarında da aynı donanımsal mekanizmanın çalıştığı gözlemlendi ancak tam ölçekli bir saldırı simülasyonu yapılmadı. Windows işletim sistemleri içinse henüz kapsamlı bir test süreci başlatılmış değil. Çalışmanın ortak yazarlarından Hannes Weissteiner, macOS ve Linux çekirdeklerinin I/O mimarisindeki benzerlikler nedeniyle iki platformda da sonuçların paralel olmasını beklediklerini ifade ediyor. Saldırının tüm teknik detayları Temmuz ayında düzenlenecek DIMVA 2026 siber güvenlik konferansında sunulacak.
Tarayıcı Üreticilerine Yapılan Bildirimler
Araştırmacılar bulguları Google, Mozilla ve Apple taraflarıyla önceden paylaştı. Chromium ekibi, bu tür parmak izi toplama yöntemlerini doğrudan bir güvenlik açığı olarak değerlendirmediklerini belirtti. Apple ise ilerleyen dönemde olası koruma mekanizmalarını değerlendirmeye aldı. Firefox geliştiricilerinden ise henüz somut bir önlem adımı gelmedi. Oysa yayınlanan teknik belgede, Firefox’un web sitelerine 10 GB’a kadar depolama alanı sağlayabildiğine dikkat çekiliyor. Bu durum, saldırganların çok daha büyük dosyalarla çok daha hassas gecikme analizleri yapmasına kapı aralayabilir.
Kullanıcılar İçin Korunma Yolları
Uzmanlar, FROST saldırısı ve benzeri tarayıcı tabanlı yan kanal tehditlerine karşı alınabilecek en basit önlemin, kullanılmayan sekmelerin kapatılması olduğunu söylüyor. Uzun süre açık kalan sekmeler, arka planda bu tip ölçümlerin yapılması için elverişli bir ortam oluşturuyor. Tarayıcı önbelleğinin ve site verilerinin düzenli olarak temizlenmesi de şüpheli boyuttaki OPFS dosyalarının barınmasını engelleyebilir.
Kalıcı çözüm ise tarayıcı geliştiricilerinin elinde. Araştırmacılar, web sitelerinin oluşturabileceği dosya boyutlarına katı limitler getirilmesinin saldırının etkinliğini büyük ölçüde azaltacağını vurguluyor. Özellikle kullanılabilir disk alanının tamamına yakınını talep edebilen Chromium tabanlı tarayıcılarda bu sınırlandırmanın kritik önem taşıdığı belirtiliyor. Teknoloji Haberleri - Hedef Bilgi Toplumu – Telegram
