Sebuah terobosan riset dari para ilmuwan di Austria telah mengungkap sebuah metode baru yang memungkinkan situs web untuk memantau aktivitas pengguna di perangkat mereka secara diam-diam. Yang mengejutkan, teknik ini tidak bergantung pada metode pelacakan yang umum digunakan seperti cookie, skrip pelacakan klik, atau teknik sidik jari (fingerprinting) tradisional. Sebaliknya, celah keamanan ini memanfaatkan sifat laten (latency) dari perangkat penyimpanan Solid-State Drive (SSD) yang terpasang pada perangkat pengguna.
Metode yang diberi nama FROST (fingerprinting remotely using OPFS-based SSD timing) ini bekerja dengan mengamati bagaimana berbagai aplikasi dan proses bersaing untuk mengakses penyimpanan data. Setiap persaingan akses ini meninggalkan jejak perbedaan waktu yang sangat kecil, namun tetap dapat diukur. Dengan memantau variasi waktu yang halus ini, tim peneliti berhasil mengidentifikasi situs web dan aplikasi mana saja yang sedang aktif dibuka atau digunakan pada perangkat target. Pendekatan ini termasuk dalam kategori serangan side-channel, di mana informasi penting disimpulkan secara tidak langsung melalui perilaku sistem. Dalam kasus FROST, saluran yang dieksploitasi adalah karakteristik latensi akses pada SSD.
Yang patut digarisbawahi, serangan FROST dapat dijalankan sepenuhnya dari dalam lingkungan browser. Mekanisme kerjanya berawal dari aplikasi web yang mengakses antarmuka pemrograman aplikasi (API) penyimpanan yang ada di browser, seperti Origin Private File System (OPFS). Ketika berbagai program pada perangkat secara bersamaan mencoba mengakses atau memanipulasi data di SSD, hal ini menyebabkan sedikit keterlambatan dalam waktu respons penyimpanan. Perbedaan waktu yang sangat kecil inilah yang kemudian diukur oleh situs web penyerang. Dengan menganalisis pola variasi waktu ini, penyerang dapat membangun "sidik jari" unik dari aktivitas pengguna.
Sinyal latensi ini terbukti efektif dan melintasi berbagai jenis browser. Hal ini terjadi karena pola latensi lebih erat kaitannya dengan perilaku perangkat keras sistem secara keseluruhan, bukan hanya spesifikasi browser. Temuan ini mengindikasikan bahwa browser modern, yang semakin kompleks dan membutuhkan banyak sumber daya sistem, secara tidak sengaja justru membuka potensi kebocoran data yang sebelumnya tidak disadari. Kompleksitas ini, meskipun dirancang untuk meningkatkan fungsionalitas, justru dapat menjadi celah bagi pihak yang tidak bertanggung jawab.
Meskipun temuan ini terdengar mengkhawatirkan, penerapan metode FROST di dunia nyata masih menghadapi sejumlah keterbatasan operasional yang signifikan. Pertama, serangan ini membutuhkan kondisi persaingan akses penyimpanan yang intens untuk menghasilkan data yang cukup akurat. Jika perangkat pengguna tidak menjalankan banyak aplikasi secara bersamaan atau jika SSD tidak terlalu sibuk, sinyal latensi yang terukur akan lemah dan sulit diinterpretasikan. Kedua, tingkat akurasi serangan ini masih belum sempurna. Terkadang, ada kesulitan dalam membedakan antara aktivitas aplikasi yang sah dan pola akses yang mencurigakan, terutama pada perangkat dengan kinerja yang sangat bervariasi.
Hingga saat ini, belum ada laporan atau indikasi yang menunjukkan bahwa teknik ini telah disalahgunakan di luar lingkungan penelitian. Namun demikian, para peneliti menyarankan agar vendor browser seperti Google dan Microsoft mengambil langkah pencegahan. Salah satu solusi yang diusulkan adalah dengan membatasi kapasitas penggunaan OPFS oleh situs web, atau mengembangkan mekanisme untuk memantau pola akses penyimpanan yang tidak biasa dan mencurigakan. Dengan demikian, potensi eksploitasi dapat diminimalisir sebelum menjadi ancaman yang lebih besar.
Penelitian mendalam mengenai metode FROST ini rencananya akan dipresentasikan secara resmi pada konferensi keamanan siber bergengsi, DIMVA, yang akan diselenggarakan pada bulan Juli mendatang. Temuan ini membuka perspektif baru tentang bagaimana data pengguna dapat dieksploitasi melalui saluran yang tidak konvensional, menyoroti pentingnya inovasi berkelanjutan dalam keamanan siber untuk mengimbangi perkembangan teknologi yang semakin canggih.
This article was rewritten using AI technology based on information from inet.detik.com without altering the facts of the original article.
