Telset.id – Tim peneliti di Austria menemukan celah keamanan baru yang memungkinkan situs web mengintip aktivitas pengguna secara diam-diam melalui Solid-State Drive (SSD). Metode ini tidak bergantung pada cookie atau pelacakan konvensional.
Dilansir dari detikINET, Minggu (31/5/2026), teknik yang dijuluki FROST (fingerprinting remotely using OPFS-based SSD timing) ini mengeksploitasi perilaku latensi waktu dari perangkat penyimpanan SSD milik pengguna. Alih-alih menggunakan skrip pelacakan klik atau metode identifikasi sidik jari (fingerprinting), celah ini memanfaatkan bagaimana program bersaing untuk mengakses penyimpanan.
Cara Kerja FROST yang Mencemaskan
FROST masuk dalam kategori side-channel attack, di mana informasi disimpulkan secara tidak langsung dari perilaku sistem. Dalam kasus ini, saluran yang dimanfaatkan adalah latensi SSD. Serangan ini dapat berjalan sepenuhnya dari dalam browser tanpa perlu instalasi perangkat lunak tambahan.
Berikut adalah cara kerja FROST:
- Eksploitasi OPFS: Serangan menggunakan JavaScript untuk berinteraksi dengan Origin Private File System (OPFS), fitur browser yang memberi situs web ruang penyimpanan terisolasi. Meski ada di kotak pasir (sandbox) perangkat lunak, sistem ini tetap berbagi keras fisik (SSD) yang sama.
- Bantuan File Raksasa: Skrip nakal akan membuat file besar di OPFS dan membacanya secara berulang-ulang, sembari merekam durasi setiap operasinya.
- Analisis Sinyal Latensi: Jika ada aplikasi atau tab browser lain yang aktif menggunakan SSD, waktu pembacaan file tadi akan bergeser.
- Penerapan AI: Peneliti menggunakan convolutional neural network untuk menginterpretasikan pola latensi tersebut. Setelah dilatih, model AI ini bisa mengasosiasikan sinyal waktu tertentu dengan aktivitas spesifik, seperti membuka aplikasi chat atau mengakses website tertentu.
Sinyal ini terbukti berfungsi lintas browser karena lebih terikat pada perilaku sistem keras secara keseluruhan. Hal ini membuktikan bahwa browser modern, yang kini semakin kompleks dan memakan banyak sumber daya sistem, turut membuka celah kebocoran data yang tidak disengaja.
Kasus ini mengingatkan kita pada berbagai insiden keamanan digital lainnya. Seperti Kampanye Oppo yang berujung petaka di China, atau Pengadilan Italia yang memaksa Netflix mengembalikan uang pelanggan.
Keterbatasan dan Upaya Pencegahan
Meski terdengar mengkhawatirkan, penerapan metode FROST di dunia nyata masih memiliki sejumlah keterbatasan operasional:
- Serangan ini membutuhkan pembuatan file yang sangat besar (setidaknya 1 GB). Aktivitas ini berpotensi disadari oleh pengguna atau memicu munculnya peringatan ruang penyimpanan penuh.
- Pelacakan hanya berlaku jika aplikasi target berada di SSD fisik yang sama.
- Dalam risetnya, metode ini baru diuji coba pada sistem Apple M2 (macOS) dan Linux, belum pada sistem operasi Windows.
Hingga saat ini, belum ada indikasi bahwa teknik tersebut telah disalahgunakan di luar lingkungan penelitian. Sebagai solusi, tim akademisi menyarankan agar vendor browser seperti Google dan Microsoft membatasi penggunaan kapasitas OPFS atau memantau pola akses penyimpanan yang mencurigakan.
Penelitian ini dijadwalkan akan dipresentasikan secara resmi pada konferensi keamanan siber DIMVA di bulan Juli mendatang, demikian dikutip detikINET dari Techspot.
Baca Juga:
Bagi pengguna biasa, tidak perlu panik berlebihan. Namun, temuan ini menjadi pengingat bahwa privasi digital terus menghadapi ancaman baru yang tidak terduga. HP Palsu Merek Redmi yang disita Kemendag juga menunjukkan betapa rentannya konsumen terhadap berbagai modus kejahatan di era digital.
Implikasinya jelas: teknologi yang dirancang untuk kenyamanan, seperti OPFS, bisa menjadi celah bagi pelanggaran privasi. Vendor browser perlu segera mengambil langkah mitigasi sebelum teknik ini disalahgunakan secara luas.
Komentar
Belum ada komentar.