Attacco FROST: spyware web tramite analisi SSD

Francesco Polimeni
attacco-frost

Articolo Aggiornato il 03/06/2026 da Francesco Polimeni

Attacco Frost: Una nuova ricerca svela la tecnica FROST (Fingerprinting Remotely using OPFS-based SSD Timing): sfruttando JavaScript e semplici misurazioni dei tempi di accesso al disco, i siti web possono ora monitorare quali altre pagine e applicazioni hai aperte sul tuo dispositivo.

Una nuova e inquietante minaccia per la privacy online è emersa dalla ricerca accademica. Un team di ricercatori austriaci ha sviluppato FROST (Fingerprinting Remotely using OPFS-based SSD Timing), un attacco side-channel che permette ai siti web di spiare le attività degli utenti semplicemente analizzando i tempi di accesso ai loro dischi SSD .

A differenza dei tradizionali metodi di tracciamento che si basano su cookie o fingerprinting del browser, FROST opera interamente all’interno della sandbox del browser, utilizzando JavaScript e una feature web chiamata OPFS (Origin Private File System) . Se vuoi approfondire come funzionano questi attacchi sofisticati, ti consigliamo di leggere il nostro articolo sull’ Attacco hacker cinese Webworm che spia la PA italiana

Come funziona l’attacco FROST: il “canale laterale” degli SSD

L’attacco FROST sfrutta un principio noto nella sicurezza informatica come contention side-channel (canale laterale da contesa). In termini semplici, quando più processi cercano di accedere contemporaneamente allo stesso disco SSD, si creano microscopici ritardi (latenze) nelle operazioni di lettura e scrittura.

Ecco il meccanismo passo-passo:

  1. Creazione del file “esca”: Il sito web malevolo crea un file di dimensioni molto grandi (fino a 1 GB o più) all’interno dello spazio di archiviazione OPFS, riservato al sito stesso. Questo file viene creato senza alcun consenso esplicito da parte dell’utente .
  2. Lettura casuale continua: Il JavaScript del sito esegue continuamente letture casuali da questo file OPFS, misurando con estrema precisione quanto tempo impiegano a completarsi .
  3. Rilevamento della contesa: Quando l’utente apre altre schede del browser o utilizza applicazioni native (come Safari, Impostazioni di Sistema, o altri programmi), queste attività generano a loro volta operazioni di I/O sul disco SSD.
  4. Analisi con Intelligenza Artificiale: Le variazioni di latenza nelle letture del file OPFS vengono inviate a una rete neurale convoluzionale (CNN) pre-addestrata. Questa IA è in grado di riconoscere “impronte digitali” temporali specifiche, identificando con alta precisione quali siti web o applicazioni sono attivi sul dispositivo . Scopri come come diventare un esperto di cyber security per scopi sia offensivi che difensivi.

“L’attaccante misura continuamente la contesa dell’SSD eseguendo letture casuali da un grande file OPFS. La contesa causata dall’attività dell’utente provoca differenze di latenza misurabili per queste operazioni di lettura”, spiegano i ricercatori nel paper originale .

La comunità tech ha reagito rapidamente alla notizia, come puoi vedere nella discussione su Hacker News dove esperti e sviluppatori stanno analizzando le implicazioni di questa vulnerabilità.

Attacco FROST Risultati allarmanti: precisione fino al 95%

I test condotti dai ricercatori su un Mac con chip M2 hanno dimostrato l’efficacia devastante di questa tecnica:

  • Siti Web: FROST ha identificato i siti web aperti in altre schede con un F1 score dell’88.95% in test “closed-world” (dove l’attaccante sa in anticipo quali siti cercare) e dell’86.95% in test “open-world” (scenario più realistico) .
  • Applicazioni Native: Il sistema ha raggiunto un F1 score del 95.83% nel riconoscere quali applicazioni native erano in esecuzione sul dispositivo .

Questi risultati sono stati ottenuti senza che l’utente dovesse fare altro oltre a visitare il sito web malevolo. Non è richiesto alcun click, download o installazione di plugin. Ars Technica ha dedicato un approfondimento a questa scoperta, evidenziando come la privacy nel browser sia sempre più a rischio.

OPFS: la feature web “invisibile” che abilita l’attacco FROST

Il cuore della vulnerabilità risiede nell’Origin Private File System (OPFS), un’API web progettata per permettere ai siti di archiviare grandi quantità di dati in modo strutturato, simile a un file system tradizionale ma isolato (sandboxed) per ogni dominio . La documentazione ufficiale MDN spiega nel dettaglio come funziona questa API.

Il problema è che OPFS permette ai siti di creare file di dimensioni enormi. Come evidenziato dalla ricerca, su Chrome e Safari è possibile creare file OPFS grandi fino al 60% dello spazio totale del disco . Questo significa che su un disco da 64 GB, un sito web potrebbe allocare silenziosamente quasi 38 GB di spazio senza che l’utente ne sappia nulla.

“Sono sorpreso di apprendere che un sito web casuale può scrivere un file che occupa il 60% del mio disco. È ovviamente questa una capacità dei browser web?”, ha commentato un utente sulla piattaforma Hacker News, riassumendo il preoccupante stato attuale della sicurezza dei browser .

Se ti interessa capire meglio come i browser gestiscono i permessi, leggi il nostro articolo su come gli Hacker Microsoft Entra ID: come Storm-2949 hanno colpito.

I limiti dell’attacco FROST

Nonostante la sua sofisticazione, FROST presenta alcune limitazioni pratiche che ne riducono l’applicabilità su larga scala:

  1. Dimensione del file: La necessità di creare file OPFS di 1 GB o più rende l’attacco facilmente rilevabile da utenti attenti che monitorano lo spazio di archiviazione del browser .
  2. Stesso disco fisico: L’attacco funziona solo se le attività da tracciare generano I/O sullo stesso SSD dove risiede il file OPFS. Se le applicazioni sono installate su un disco separato, non possono essere rilevate .
  3. Rumore di fondo: Attività intensive come download di torrent, sincronizzazione cloud o client blockchain possono introdurre “rumore” nei dati, riducendo l’accuratezza della classificazione .
  4. Piattaforme testate: La ricerca è stata validata completamente solo su macOS (M2). Su Linux è stato dimostrato il funzionamento del primitivo di base, ma non l’attacco completo. Windows non è stato testato .

Al momento, non ci sono indicazioni che attacchi FROST siano stati condotti nel mondo reale, ma la pubblicazione del paper e del codice sorgente rende probabile l’emergere di implementazioni pratiche in futuro . The Register ha pubblicato un’analisi dettagliata su questa nuova frontiera del tracciamento web.

Come difendersi dall’attacco FROST

Gli esperti di sicurezza e i ricercatori stessi suggeriscono diverse contromisure, dalle più semplici alle più tecniche:

Per l’utente comune:

  • Chiudi le schede inutilizzate: Poiché FROST ha bisogno di attività di I/O da altre schede o app per funzionare, mantenere aperte solo le schede necessarie riduce drasticamente la superficie di attacco .
  • Usa la navigazione in incognito: Le sessioni in incognito di Chromium utilizzano un profilo temporaneo su RAM disk, eliminando completamente la scrittura su SSD . Scopri quando usare davvero la navigazione in incognito e quali sono i suoi limiti reali.
  • Monitora lo spazio del browser: Controlla periodicamente le dimensioni dei dati salvati dai siti nelle impostazioni del browser. File OPFS sospettosamente grandi sono un campanello d’allarme .
  • Disabilita JavaScript: Per i siti non essenziali, disabilitare JavaScript (tramite estensioni come NoScript) previene completamente l’attacco, poiché FROST si basa interamente su codice JavaScript . Leggi la guida su come gestire JavaScript in sicurezza.

Per gli sviluppatori browser e policy maker:

I ricercatori hanno proposto diverse mitigazioni strutturali da implementare nei browser:

  • Limitare la dimensione massima dei file OPFS: Impedire ai siti di creare file superiori a una certa soglia (es. 100 MB) senza esplicita autorizzazione dell’utente .
  • Ridurre la precisione dei timer: Limitare l’accesso a timer ad alta risoluzione renderebbe molto più difficile misurare le microscopiche differenze di latenza necessarie per l’attacco .
  • Sistema di permessi per OPFS: Introdurre prompt di autorizzazione simili a quelli per la geolocalizzazione o la fotocamera quando un sito richiede di allocare grandi quantità di spazio di archiviazione .
  • Alert per consumi anomali: Notificare l’utente quando più origini web stanno consumando rapidamente grandi quantità di spazio OPFS .

Per una panoramica completa sulle minacce attuali, consulta il rapporto sulle principali minacce cybersecurity del 2026.

Il contesto: l’escalation dei side-channel attack nei browser

L’attacco FROST si inserisce in una tendenza preoccupante: la scoperta continua di vulnerabilità side-channel nei browser moderni. Già nel 2014 e nel 2017 erano stati pubblicati studi simili relativi ai vecchi hard disk meccanici (HDD), ma la diffusione degli SSD e l’introduzione di API web più potenti come OPFS hanno reso queste minacce più pratiche e pericolose .

“I browser hanno un livello assolutamente folle di permessi relativamente non controllati per fare ciò che vogliono sul client”, ha commentato un esperto di sicurezza su Hacker News, sottolineando come i browser moderni si stiano trasformando in sistemi operativi agnostici con accesso profondo all’hardware .

La ricerca FROST dimostra che anche feature web apparentemente innocue, progettate per migliorare le prestazioni delle applicazioni web, possono essere trasformate in potenti armi di sorveglianza. La sfida per i vendor di browser (Google, Apple, Mozilla, Microsoft) sarà trovare un equilibrio tra funzionalità e privacy, rafforzando le sandbox senza compromettere l’esperienza utente.

Se vuoi restare aggiornato sulle ultime scoperte in materia di privacy digitale, iscriviti alla nostra newsletter sulla cybersecurity.

Domande Frequenti (FAQ) sull’attacco FROST e la privacy web

Cos’è l’attacco FROST?

FROST (Fingerprinting Remotely using OPFS-based SSD Timing) è una nuova tecnica di spionaggio web scoperta da ricercatori austriaci nel 2026. Sfrutta un side-channel basato sui tempi di accesso agli SSD per permettere ai siti web di identificare quali altre pagine web e applicazioni native sono aperte sul dispositivo dell’utente, con un’accuratezza fino al 95%.

Come funziona tecnicamente FROST?

Il sito malevolo crea un file di grandi dimensioni (1GB+) nell’Origin Private File System (OPFS) del browser. Poi esegue continuamente letture casuali da questo file, misurando i tempi di risposta. Quando altre applicazioni o schede del browser accedono al disco SSD, creano microscopici ritardi (contesa) che vengono rilevati e analizzati da una rete neurale convoluzionale (CNN) per identificare l’attività in corso.

FROST richiede l’installazione di malware o plugin?

No. FROST opera interamente all’interno della sandbox del browser utilizzando JavaScript standard. Non richiede alcun download, installazione o interazione da parte dell’utente oltre alla semplice visita del sito web malevolo.

Quali browser sono vulnerabili a FROST?

La ricerca è stata validata completamente su Safari e Chrome/macOS. I test su Linux hanno dimostrato il funzionamento del meccanismo di base. L’attacco sfrutta l’API OPFS, supportata da tutti i principali browser moderni (Chrome, Safari, Firefox, Edge).

Come posso proteggermi dall’attacco FROST?

Le difese principali includono: chiudere le schede del browser non utilizzate, usare la navigazione in incognito (che opera su RAM disk), disabilitare JavaScript sui siti non essenziali tramite estensioni come NoScript, e monitorare periodicamente lo spazio di archiviazione allocato dai siti nelle impostazioni del browser.

L’attacco FROST è già stato usato nel mondo reale?

Al momento della pubblicazione (giugno 2026), non ci sono evidenze di attacchi FROST condotti in the wild. Tuttavia, la pubblicazione del paper di ricerca e del codice sorgente rende probabile che la tecnica venga adottata da attori malintenzionati in futuro.

Perché OPFS è così pericoloso?

OPFS (Origin Private File System) permette ai siti web di creare file di dimensioni enormi (fino al 60% dello spazio totale del disco) senza alcun consenso esplicito dell’utente. Questa capacità, combinata con l’accesso a timer ad alta precisione, crea le condizioni ideali per attacchi side-channel come FROST.

Quali sono i limiti di FROST?

FROST presenta diverse limitazioni: richiede file OPFS di 1GB+ (facilmente rilevabili), funziona solo se le attività tracciate generano I/O sullo stesso SSD fisico, può essere disturbato da attività intensive come download o sincronizzazione cloud, ed è stato testato completamente solo su macOS con chip M2.

Clicca per votare questo articolo!
[Voti: 2 Media: 5]

Autore

  • Francesco Polimeni è un esperto riconosciuto nel campo del Technical Surveillance Counter Measures (TSCM), con oltre trent'anni di esperienza nel settore della sicurezza e del controspionaggio.

    Dopo una carriera come agente della Polizia di Stato, ha fondato Polinet S.r.l. a Roma, un'azienda leader nelle bonifiche elettroniche e nella vendita di dispositivi di sorveglianza.

    Dal 2001 è Amministratore Unico della Polinet S.r.l., tra le società leader in Italia esperte in tecnologie di Controsorveglianza e Anti Intercettazioni.

    La sua specializzazione include la bonifica di microspie in ambienti privati e professionali, nonché la rimozione di localizzatori GPS nascosti nei veicoli.

    Polimeni è anche un volto noto nei media italiani, avendo partecipato a numerose trasmissioni televisive di rilievo come "Porta a Porta" e "Matrix", dove è spesso invitato come esperto per discutere di tematiche legate alla sicurezza delle informazioni e al controspionaggio.

    La sua attività non si limita alla capitale; infatti, offre i suoi servizi di bonifica in tutta Italia, mantenendo un alto livello di riservatezza e professionalità in ogni intervento.

    Francesco Polimeni è iscritto al Ruolo Periti ed Esperti dalla C.C.I.A.A. di Roma al numero *** RM-2368 *** quale "Esperto in Sistemi di Prevenzione del Crimine".
    Competenze chiave:
    - Bonifiche elettroniche e rimozione di dispositivi di sorveglianza

    - Consulenze tecniche per la prevenzione del crimine

    - Utilizzo di tecnologie avanzate per il rilevamento di localizzatori GPS

    - Esperienza pluriennale nel settore TSCM e controspionaggio

    Titolare della Licenza Ministeriale ex Art. 28 T.U.L.P.S., rilasciata dalla Prefettura di Roma, che autorizza la vendita e manutenzione di materiale per le Forze Armate e le Forze di Polizia. Certificato NATO NCAGE AL332 nel NATO Codification System, riconosciuto come fornitore ufficiale per le Amministrazioni della Difesa e gli Enti Governativi NATO. Qualificato MEPA/Consip e iscritto all'Albo Fornitori Carabinieri e al registro del Ministero della Difesa.

    - Licenza Ministeriale ex Art. 28 T.U.L.P.S.
    - Certificazione NATO NCAGE AL332
    - Fornitore qualificato MEPA/Consip — Ministero della Difesa
    - Albo Fornitori Carabinieri

    Visualizza tutti gli articoli

Related posts

Leave a Comment