Sites agora podem ‘espiar’ você pelo seu SSD
Sabe aquela sensação de que a internet está sempre um passo à frente, encontrando novas formas de saber o que você faz? Pois é, parece que temos mais um capítulo nessa história. Pesquisadores descobriram um jeito de sites ‘espionarem’ seus visitantes analisando a atividade do seu SSD. Sim, o seu disco de estado sólido, aquele que faz seu computador voar, agora pode ser uma fonte de informação para quem te rastreia.
Como funciona essa ‘espiadinha’ no seu SSD?
A técnica, batizada de FROST (que é um acrônimo para algo bem técnico, mas o importante é o resultado), explora uma brecha que chamamos de ‘canal lateral’. Pense assim: quando vários programas tentam usar o mesmo recurso do seu computador ao mesmo tempo, rola uma ‘competição’. Essa competição gera pequenas diferenças de tempo nas operações de leitura e escrita do seu SSD. E é exatamente isso que o FROST mede.
Usando um código JavaScript simples, que roda direto no navegador, os sites conseguem monitorar essas variações de tempo. Com uma ajudinha de inteligência artificial (sim, ela de novo!), eles conseguem ‘adivinhar’ quais outros sites você está visitando em outras abas e até quais aplicativos estão abertos no seu dispositivo. Parece coisa de filme, mas é real.
Os pesquisadores explicam que navegadores, que antes eram só para ver documentos, viraram plataformas complexas. Isso é ótimo para a gente, que usa apps cada vez mais completos direto na web, mas também abre portas para novas vulnerabilidades.
O pulo do gato é que o FROST usa um espaço de armazenamento reservado para cada site no seu navegador, chamado OPFS (Origin Private File System). Mesmo que cada site tenha seu próprio ‘cantinho’ isolado, o JavaScript consegue medir as interações de entrada e saída (I/O) desse espaço. Daí, com uma rede neural treinada, ele consegue identificar padrões e deduzir suas atividades.
Tem limite para essa espionagem?
Felizmente, sim. Para que o ataque funcione, o arquivo OPFS precisa ser bem grande, tipo um gigabyte ou mais. Isso significa que, se muitos sites tentassem fazer isso, a maioria dos usuários provavelmente perceberia o consumo de espaço ou lentidão. Além disso, o arquivo tem que estar no mesmo SSD que você usa para navegar. Se você tiver um SSD separado para apps, por exemplo, eles não seriam detectados por essa técnica.
O que você pode fazer para se proteger?
- Feche as abas que não usa: Simples assim. Quanto menos abas abertas, menos chances de rastreamento.
- Fique de olho em arquivos OPFS grandes: Usuários mais avançados podem monitorar a criação e o tamanho desses arquivos por sites desconhecidos.
- Navegadores podem ajudar: Os próprios desenvolvedores de navegadores podem implementar limites no tamanho desses arquivos, o que já dificultaria bastante o ataque.
Por enquanto, não há relatos de que o FROST esteja sendo usado por aí, mas é sempre bom ficar ligado. A tecnologia avança, e com ela, novas formas de proteger nossa privacidade precisam surgir. Fique de olho no seu SSD, ele pode estar contando mais sobre você do que você imagina!
