نشر علماء من جامعة Graz للتكنولوچيا في النمسا مؤخرًا ورقة بحثية توضح بالتفصيل طريقة جديدة لتتبع نشاط المستخدمين من خلال مستعرضات الويب الخاصة بهم. والأمر الأكثر إثارة للدهشة في هذه التقنية الجديدة – التي أطلقوا عليها اسم FROST – هو أنها تعتمد على أقراص الحالة الصلبة (SSD) الخاصة بالكمبيوتر للقيام بعملية التجسس. وبدون الخوض في تفاصيل تقنية معقدة، إليك آلية عمل هذا الهجوم: يستدرج المخترق الضحية لزيارة موقع ويب مصمم خصيصًا لهذا الغرض؛ وطالما بقي هذا الموقع مفتوحًا، يستطيع المهاجم تتبع التطبيقات التي يقوم المستخدم بتشغيلها بدقة، ومعرفة صفحات الويب الأخرى التي يزورها.
إذن، كيف ينجحون في تحقيق ذلك؟ أول ما يتبادر إلى الذهن بالطبع هو إلقاء اللوم على المستعرض. لكن في مستعرضات الويب الحديثة، يعمل كل موقع في بيئة معزولة تمامًا، ويُمنع عامةً من الوصول إلى علامات التبويب الأخرى — ناهيك عن أجهزة الكمبيوتر الفعلية. ورغم أن المخترقون يجدون ثغرات في هذه الدفاعات من وقت لآخر، إلا أن هذا ليس ما يحدث هنا؛ فهجوم FROST لا يحتاج إلى كسر حماية المستعرض، بل يعمل بكفاءة تامة حتى مع تفعيل جميع التدابير الأمنية القياسية. بدلاً من ذلك، يستغل الهجوم ميزة مشروعة تمامًا في المستعرض تُدعى نظام الملفات الخاص بالمنشأ (OPFS)، والتي تمنح مواقع الويب مساحة تخزين افتراضية خاصة بها لحفظ البيانات. ومع أن مساحة التخزين هذه معزولة رقميًا، إلا أن البيانات تُكتب فعليًا على قرص SSD نفسه الذي تستخدمه بقية التطبيقات والمواقع المفتوحة على الكمبيوتر. وقد اكتشف الباحثون أنه إذا قام موقع خبيث بإمطار قرص SSD بطلبات بيانات مستمرة، فإن التأخيرات المجهرية الدقيقة في الوصول إلى البيانات يمكن أن تساعد في رسم خريطة لما يتم تشغيله على الجهاز. وقبل أن نتعمق في تفاصيل كيفية تحقيقهم لذلك، دعونا نلقي نظرة سريعة على النظرية الكامنة وراء هذا الهجوم.
مقدمة سريعة حول هجمات القنوات الجانبية
يشير مصطلح “القناة الجانبية” إلى طريقة للتجسس على جهاز الكمبيوتر — أو حتى على رقاقة واحدة — بشكل غير مباشر. وبدلاً من اعتراض البيانات نفسها، قد يحلل المهاجم التغيرات في استهلاك الطاقة، أو يراقب درجة حرارة مكونات معينة، أو يستمع إلى الانبعاثات الكهرومغناطيسية، من بين أمور أخرى. ومن الناحية النظرية، هذا يعني أنه يمكن لشخص ما التنصت على محادثة تدور في غرفة بمجرد استخدام الماوس، نظرًا لأن مستشعرها الضوئي يمكنه التقاط الاهتزازات الصوتية. وبالمثل، فإن مراقبة تقلبات سرعة تردد المعالج قد تتيح للمخترق سرقة مفتاح تشفير. بل إن مجرد ضوء LED بسيط على قارئ البطاقات يمكن أن يسرب بيانات كافية عن آلية العمل الداخلية للجهاز تمنح المهاجم القدرة على استنساخ بطاقة ذكية.
تكمن ميزة تسريبات البيانات غير المباشرة هذه — على الأقل من منظور المخترقين — في أنه ليس من السهل رصدها. ونادرًا ما يضعها مصنعو الأجهزة في الحسبان عند بناء أنظمة الأمان. ومع ذلك، فإن الجانب السلبي فيها لا يقل وضوحًا: استخراج المعلومات عبر آلية لم تُصمم أساسًا لنقل البيانات غالبًا ما يكون أمرًا معقدًا وبطيئاً، ويتطلب جهدًا مكثفًا. وقد ركز الباحثون النمساويون على نوع فرعي محدد يُعرف باسم هجوم القناة الجانبية القائم على التنافس. ويحدث هذا النوع من التسريب عندما تتنافس عمليات متعددة على المورد نفسه. وفي هذه الحالة، يكون المورد المتنازع عليه هو النطاق الترددي لقرص التخزين.
داخل هجوم FROST
خضع هذا النوع المحدد من القنوات الجانبية للدراسة بالفعل من قبل، بما في ذلك في ورقة بحثية نُشرت عام 2025. ومع ذلك، كانت آلية التجربة حينها بسيطة ومباشرة للغاية: قام الباحثون بتشغيل برنامج على الكمبيوتر ليكون بمثابة مصدر البيانات، بينما حاول برنامج ثانٍ يعمل على الجهاز نفسه اعتراض تلك البيانات. ورغم أن هذا الأسلوب يعد مقبولاً للدراسات الأكاديمية النظرية، إلا أن نموذج الهجوم لم يكن ثوريًا أو مبتكرًا تمامًا. وفي نهاية المطاف، إذا كان بإمكان المخترق تشغيل أي برنامج يريده على جهازك بالفعل، فلن يحتاج إلى الاعتماد على قنوات جانبية معقدة — إذ لديه الكثير من الطرق المباشرة لسرقة البيانات.
ومع ذلك، لم تكن دراسة العام الماضي إهدارًا كاملاً للوقت. وقد أثبتت أن الدقة المستمدة من مراقبة قرص SSD عالية جدًا، وأن تسريب البيانات أمر حقيقي، وأن المعلومات التي يتم التقاطها يمكن أن تكون مفيدةً بالفعل. وبناءً على ذلك، يُعد هجوم FROST امتدادًا منطقيًا للفكرة ذاتها.
إليك طريقة العمل عمليًا: لنفترض وجود ملفٍ كبيرٍ نسبيًا على قرص SSD، وهو مليء ببياناتٍ عشوائية. وتقرأ برمجية معينة هذه البيانات على فترات زمنية منتظمة، وتحسب السرعة التي تتلقى بها الاستجابة. وتتقلب هذه السرعة بناءً على مدى انشغال القرص بمهام أخرى. وتعد تأخيرات الوصول هذه هي العلامة الدالة على نشاط القرص. وقد أثبت الباحثون النمساويون أن رسم خط بياني لهذه التأخيرات بمرور الوقت يمكن أن يساعد في تحديد طبيعة المهمة الأخرى التي تعمل على الكمبيوتر في تلك اللحظة بالذات وبدقة مقبولة.

أنماط زمن الاستجابة المميزة الناتجة عند فتح مواقع ويب معينة المصدر
رسم الباحثون مخططات بيانية لوقت الاستجابة، تشبه تلك الموضحة أعلاه، لمجموعة واسعة من مواقع الويب والتطبيقات التي تعمل محليًا. وما وجدوه كان عبارة عن أنماط مميزة — أو بصمات رقمية — تتشكل في كل مرة يتم فيها تحميل موقع معين أو تشغيل تطبيق ما. ويتطلب التقاط نوافذ التشغيل أو التحميل الخاطفة هذه مراقبة أقراص SSD بشكل مستمر وعلى مدى فترة زمنية طويلة. ومع ذلك، أثبتت هذه الأنماط اتساقًا ملحوظًا عبر الأنظمة المختلفة؛ حيث اختبر المؤلفون طريقتهم بنجاح على كل من جهاز كمبيوتر مكتبي يعمل بنظام Linux وجهاز Apple Mac Mini. ومن هنا، تبدو الخطوة التالية بسيطة للغاية: جلب كتالوج للبصمات المعروفة، وقياس تأخيرات أقراص SSD في العالم الحقيقي، والمطابقة بينهما، لتعرف بدقة ما التطبيقات التي يفتحها المستخدم والمواقع التي يزورها. لكن كيف يمكن بالفعل تنفيذ هذا النوع من المراقبة والتجسس خِفية، دون زرع برامج ضارة على كمبيوتر الضحية؟
وهنا يأتي دور ميزة نسبيًا ومستحدثة في المستعرضات تُدعى نظام الملفات الخاص بالمنشأ (OPFS). ولا يحتاج المهاجم المفترض إلى خداع المستخدم لتنزيل ملف فيروس حصان طروادة مشبوه. وكل ما عليه فعله هو جعل الضحية يزور صفحة ويب مصممة خصيصًا لهذا الغرض، لتقوم تلك الصفحة باستغلال ميزة OPFS لتتبع نشاط قرص SSD بهدوء. ويجمع هذا الاختصار الذكي كل هذه الأجزاء المتحركة معًا: ويرمز اختصار FROST إلى: أخذ البصمات عن بُعد باستخدام توقيت SSD المستند إلى نظام OPFS. وفيما يلي تفصيل خطوة بخطوة لكيفية حدوث الهجوم بالكامل.

كيفية استخدام طريقة FROST للتجسس على نشاط الكمبيوتر المصدر
القيود على الطريقة
مثل أي هجوم عبر القنوات الجانبية، لم تُصمم طريقة FROST بدقة لتكون سريعة. بل هي عملية بطيئة ومنهجية. ولمعرفة مدى بطئها بدقة، بنى الباحثون بيئة اختبار مخصصة لقياس ذلك.

إعداد بيئة الاختبار لقياس سرعة استخراج البيانات من خلال OPFS المصدر
قام الفريق بتشغيل برنامج على جهاز الكمبيوتر لنقل البيانات بطريقة غير مباشرة. تخيل الأمر كأنه جاسوس رقمي يبث رسالة سرية عبر تغيير طريقة تفاعله مع القرص الصلب. على سبيل المثال، قد يعني الرقم 1 في رمز الرسالة الثنائية أن البرنامج يستخدم قرص SSD بنشاط، بينما يعني الرقم 0 أنه في حالة خمول. وفي الوقت نفسه، قاموا بإعداد جهاز استقبال داخل مستعرض الويب للوصول إلى قرص التخزين عبر ميزة OPFS. ونظرًا لأن كلاً من مستقبل المستعرض وبرنامج الإرسال كانا يتنافسان على النطاق الترددي لقرص SSD، فقد واجه المستعرض تأخيرات طفيفة في السرعة كلما كان المرسل يرسل البيانات بنشاط.
نجحت هذه التركيبة الغريبة في نقل البيانات بسرعة 661 بت في الثانية، بدقة بلغت تقريبًا 90% على جهاز كمبيوتر مكتبي يعمل بنظام Linux ومزود بمعالج AMD. أما على جهاز Apple Mac Mini يعمل بنظام macOS، فقد وصل معدل النقل إلى 719 بت في الثانية، مع نسبة دقة حامت أيضًا حول 90%. ورغم أن هذه الأرقام أقل قليلاً من تلك المسجلة في دراسة العام الماضي – التي اعتمدت على تطبيقات مثبتة مباشرة على الكمبيوتر – فإن الفجوة ليست ضخمة في واقع الأمر.
مع ذلك، فإن التهديد الحقيقي لهجوم FROST لا يكمن في نقل البيانات الخام، بل في تتبع ما يفعله المستخدم. وحتى لو كان لدى المخترق قاعدة بيانات للبصمات الرقمية لتطبيقات ومواقع معينة، فإن المعلومات المسربة عبر موقع خبيث يستخدم ميزة OPFS تكون مليئة بالتشويش. وفي نهاية المطاف، يقرأ الكمبيوتر البيانات ويكتبها باستمرار من وإلى قرص SSD في الخلفية. ولتجاوز هذا التشويش الرقمي، استعان الباحثون بأداة أصبحت ممارسة شائعة في الهجمات السيبرانية الحديثة: شبكة عصبية. ويمكن للذكاء الاصطناعي المدرب على بصمات أقراص SSD المعروفة أن يحدد نشاط المستخدم بثقة، حتى من بين مزيج فوضوي من بيانات الخلفية. وجاءت النتائج النهائية مذهلة. على جهاز Apple Mac Mini، حدد الذكاء الاصطناعي بدقة موقع الويب الذي فتحه المستخدم بنسبة 89% من المرات، وأصاب بدقة عمليات تشغيل التطبيقات المحلية بنسبة 96%. والأهم من ذلك، أنه تمكن حتى من رصد المواقع التي فُتحت في مستعرض مختلف تمامًا عن ذلك الذي يضم علامة التبويب الخبيثة. ويبدو هذا بمثابة نجاح ساحق للمخترقين — لولا وجود قائمة ضخمة من العقبات في العالم الحقيقي.
هل يمثل هجوم FROST تهديدًا حقيقيًا على أرض الواقع؟
إن مجرد معرفة التطبيقات التي يتم فتحها أو المواقع التي تُزار لا يمنح المهاجم نفوذًا كبيرًا. وعادةً ما تكون هذه البيانات مفيدة للمعلنين الذين يتطلعون إلى بناء ملف رقمي للمستخدم دون إذنه؛ ومع ذلك، فإن تطبيق طريقة التتبع هذه على نطاق واسع ليس أمرًا واقعيًا بالمرة. وتعود هذه العقبة إلى الطريقة الأساسية التي تتعامل بها أجهزة الكمبيوتر مع البيانات، حيث ينقل النظام بانتظام البيانات المتكرر استخدامها إلى ذاكرة الوصول العشوائي (RAM). ولأن هجوم FROST بأكمله يعتمد على قياس النطاق الترددي البطيء نسبيًا لقرص SSD الفعلي، فإن البيانات الموجودة في ذاكرة الوصول العشوائي (RAM) تكون غير مرئية تمامًا لهذه الطريقة. ولتجاوز هذه العقبة، سيتعين على صفحة الويب الخبيثة إجبار نظام OPFS على إنشاء ملف ضخم — يتجاوز حجمه غيغابايت كامل. وغني عن القول إن موقع الويب الذي يستحوذ على موارد القرص الصلب بهذه الطريقة العدوانية سيثير الشكوك فورًا. ومن المرجح جدًا أن تصنفه حلول EDR أو XDR كنشاط غير طبيعي.
في نهاية المطاف، هذا يعني أن هجوم FROST — مثله مثل معظم طرق التجسس عبر القنوات الجانبية — لا يكون عمليًا إلا في العمليات عالية الاستهداف. لكن هذا يعيدنا تمامًا إلى المربع الأول: تعد معرفة التطبيقات التي يفتحها شخص ما أو صفحات الويب التي يتصفحها مكافأة ضئيلة للغاية مقارنة بالجهد الهائل المطلوب لتنفيذ مثل هذه الخدعة المعقدة المتطورة.
مع ذلك، فإن هجوم FROST يسبق بمراحل ضوئية معظم هجمات القنوات الجانبية الأكاديمية عندما يتعلق الأمر بالواقعية والقدرة على التطبيق العملي. وهو لا يتطلب برمجيات خبيثة مثبتة مسبقًا، ولا يتعين على الضحية فعل أي شيء سوى فتح صفحة ويب خبيثة. وإذا لم يكن هناك أي مكسب آخر، فإن هذا البحث يمثل تذكيرًا صارخًا بمدى تعقيد أجهزة الكمبيوتر الحديثة، وكمية الثغرات غير المتوقعة التي يمكن أن تؤدي إلى تسريب البيانات. وعند بناء أنظمة فائقة الأمان للبيانات شديدة السرية، يتعين على المرء تمامًا أن يأخذ في الاعتبار الخصائص الدقيقة للأجهزة. وإذا كانت الجائزة كبرى بما يكفي، فإن المهاجم المصمم لن يتوانى عن استثمار الوقت لبناء هجوم معقد وعالي التخصيص. وتأتي أبحاث كهذه بمثابة دليل على أنه في عالم الأمن السيبراني، لا وجود لسيناريو مستحيل.
هجمات القنوات الجانبية
النصائح