先说几个核心判断。一项名为FROST的新型追踪技术最近浮出水面,它的全称是“基于OPFS的SSD时序远程指纹识别”。简单来说,你只需要访问一次恶意网页,对方就能在不经过任何交互、不请求任何权限、也不需要你点头授权的情况下,判断出你当前正在浏览的其他网页,甚至还能摸清你后台运行着什么应用程序。
这听起来有点像是科幻电影里的桥段,但它的实现原理其实相当朴素——依赖的是浏览器原生支持的“源私有文件系统”,也就是OPFS。攻击者通过在网页中嵌入一段JavaScript代码,持续测量固态硬盘(SSD)的输入输出响应延迟。整个监控过程完全静默,不需要Cookie,不需要指纹采集,也不依赖任何传统的追踪手段。
它是如何做到的?
实施过程大致是这样的:攻击页面会在你的设备上创建一个体积高达1GB甚至更大的OPFS文件,然后反复发起随机读取操作,不断采集延迟样本。这个操作本身并不起眼,真正的玄机在于——当你其他浏览器标签页或本地应用程序同时访问同一块固态硬盘时,硬件资源就会发生竞争,导致读取时序出现具有区分度的波动。这就像是一条高速公路上突然多出来几辆车,车流节奏自然会发生变化。
研究人员将这些高精度的时序数据作为输入,喂给一个预先训练好的卷积神经网络模型。模型的任务就是根据这些波动特征,准确识别并分类出当前活跃的网页和应用程序。
实验验证已经在搭载M2芯片的Mac设备上完整复现了攻击链,在Linux系统上也证实了底层时序干扰机制的有效性。至于Windows平台,目前还没有进行相关测试。
当然,这项技术也存在一些硬伤
第一,它高度依赖大容量OPFS文件的生成。如果你突然发现设备上莫名其妙多了一个几GB的文件,多少会觉得有点不对劲——这本身就是一种警报信号。第二,它只能在目标程序与攻击脚本共享同一块物理固态硬盘时生效。如果应用程序跑在独立硬盘或外部存储设备上,那么整个时序关联就会失效,无法建立起有效的识别通道。
值得一提的是,截至目前,还没有公开证据表明FROST已经被用于真实的网络攻击活动。但防患于未然总是明智的。对浏览器开发方而言,可以考虑对OPFS的单文件大小施加合理限制;对普通用户来说,及时关闭非必要的标签页、审慎对待存储权限的授权、留意异常的大容量本地文件创建行为,都是可行的防护手段。
这项研究计划在2026年7月的DIMVA学术会议上正式发表,届时应该会有更多细节浮出水面。
