テクノロジー
ブラウザを開くだけでSSDから履歴が筒抜けに。新たな攻撃「FROST」の戦慄
ブラウザの標準API「OPFS」を悪用し、SSDの物理的な処理遅延からユーザーの行動履歴を丸裸にする新手法「FROST」の脅威に迫る。
クロスオリジン分離は、ウェブページが他のオリジンからのリソースやウィンドウとの相互作用を厳しく制限するセキュリティ状態を指します。これは、主にCross-Origin Opener Policy(COOP)とCross-Origin Embedder Policy(COEP)というHTTPヘッダーを適切に設定することで実現されます。クロスオリジン分離を有効にすると、ウェブページはSharedArrayBufferなどの強力なWeb APIや、高精度な時間計測用API(performance.now())にアクセスできるようになります。FROST攻撃では、このクロスオリジン分離を意図的に利用することで、ブラウザのサイドチャネル攻撃対策であるタイマー精度の低下を回避し、ミリ秒以下の微小な遅延を正確に測定しています。