{"id":25138,"date":"2026-07-01T11:26:17","date_gmt":"2026-07-01T14:26:17","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=25138"},"modified":"2026-06-29T12:24:01","modified_gmt":"2026-06-29T15:24:01","slug":"frost-fingerprinting-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/frost-fingerprinting-attack\/25138\/","title":{"rendered":"O ataque FROST: como atrasos no acesso ao SSD exp\u00f5em a atividade dos usu\u00e1rios"},"content":{"rendered":"<p>Cientistas da Universidade de Tecnologia de Graz, na \u00c1ustria, publicaram recentemente um <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf\" target=\"_blank\" rel=\"noopener nofollow\">artigo<\/a> detalhando um novo m\u00e9todo para monitorar a atividade de usu\u00e1rios em navegadores. O aspecto mais fascinante dessa nova t\u00e9cnica (batizada de FROST) \u00e9 que ela usa a unidade de estado s\u00f3lido (SSD) do computador para espionar o usu\u00e1rio. Sem entrar demais em detalhes t\u00e9cnicos, o ataque funciona assim: um hacker atrai a v\u00edtima para um site especialmente criado; enquanto a p\u00e1gina permanecer aberta, o hacker consegue rastrear exatamente quais aplicativos o usu\u00e1rio est\u00e1 abrindo e quais outras p\u00e1ginas da Web est\u00e1 visitando.<\/p>\n<p>Mas como isso \u00e9 poss\u00edvel? A primeira rea\u00e7\u00e3o, naturalmente, \u00e9 culpar o navegador. Por\u00e9m, nos navegadores modernos, cada site \u00e9 executado em um sandbox e normalmente n\u00e3o consegue acessar outras guias, muito menos o hardware do computador. Embora hackers encontrem brechas nessas prote\u00e7\u00f5es de tempos em tempos, n\u00e3o \u00e9 isso o que acontece aqui. O ataque FROST funciona perfeitamente mesmo com todas as medidas padr\u00e3o de prote\u00e7\u00e3o do navegador ativadas. Em vez disso, ele explora um recurso totalmente leg\u00edtimo chamado Origin Private File System (OPFS), que fornece aos sites um espa\u00e7o virtual pr\u00f3prio para armazenar dados. No entanto, embora o armazenamento seja isolado digitalmente, os dados continuam sendo gravados no mesmo SSD usado pelos demais aplicativos e p\u00e1ginas abertos no computador. Pesquisadores descobriram que uma p\u00e1gina maliciosa pode identificar o que est\u00e1 sendo executado no computador ao enviar solicita\u00e7\u00f5es cont\u00ednuas ao SSD e analisar pequenas varia\u00e7\u00f5es nos tempos de acesso. Antes de entrar nos detalhes de como isso funciona, vale entender rapidamente a teoria por tr\u00e1s do ataque.<\/p>\n<h2>Introdu\u00e7\u00e3o r\u00e1pida aos ataques de canal lateral<\/h2>\n<p>O termo \u201ccanal lateral\u201d se refere a um m\u00e9todo de espionar um computador, ou mesmo um \u00fanico microchip, de forma indireta. Em vez de interceptar os dados em si, um invasor pode analisar varia\u00e7\u00f5es no consumo de energia, monitorar a temperatura de componentes espec\u00edficos ou at\u00e9 monitorar a radia\u00e7\u00e3o eletromagn\u00e9tica, entre outras coisas. Em teoria, isso significa que algu\u00e9m poderia <a href=\"https:\/\/www.kaspersky.com\/blog\/mic-e-mouse-attack\/54659\/\" target=\"_blank\" rel=\"noopener nofollow\">escutar uma conversa<\/a> em uma sala usando apenas um mouse, j\u00e1 que o sensor \u00f3ptico consegue captar vibra\u00e7\u00f5es sonoras. Da mesma forma, monitorar oscila\u00e7\u00f5es na frequ\u00eancia do processador pode permitir que um hacker <a href=\"https:\/\/www.kaspersky.com.br\/blog\/hertzbleed-attack\/19724\/\" target=\"_blank\" rel=\"noopener\">roube uma chave de criptografia<\/a>. At\u00e9 mesmo um simples LED em um leitor de crach\u00e1 pode revelar <a href=\"https:\/\/www.kaspersky.com\/blog\/led-data-exfiltration\/48523\/\" target=\"_blank\" rel=\"noopener nofollow\">informa\u00e7\u00f5es suficientes<\/a> sobre o funcionamento interno do dispositivo para permitir a clonagem de um cart\u00e3o inteligente.<\/p>\n<p>O grande atrativo desses vazamentos indiretos, pelo menos do ponto de vista do hacker, \u00e9 que eles s\u00e3o dif\u00edceis de detectar. Os fabricantes raramente levam esse tipo de comportamento em considera\u00e7\u00e3o ao projetar sistemas de seguran\u00e7a. Por outro lado, h\u00e1 uma limita\u00e7\u00e3o evidente: extrair informa\u00e7\u00f5es por um mecanismo que nunca foi criado para transmitir dados costuma ser um processo complexo, lento e trabalhoso. Os pesquisadores austr\u00edacos concentraram seus estudos em um subtipo espec\u00edfico conhecido como ataque de canal lateral por conten\u00e7\u00e3o. Nesse caso, o vazamento acontece porque v\u00e1rios processos disputam o mesmo recurso. Aqui, o recurso disputado \u00e9 a largura de banda da unidade de armazenamento.<\/p>\n<h2>Por dentro do ataque FROST<\/h2>\n<p>Esse canal lateral espec\u00edfico j\u00e1 havia sido estudado antes, inclusive em um <a href=\"https:\/\/arxiv.org\/pdf\/2411.10883\" target=\"_blank\" rel=\"noopener nofollow\">artigo<\/a> publicado em 2025. Na \u00e9poca, por\u00e9m, o cen\u00e1rio era relativamente simples: os pesquisadores executavam um programa no computador para gerar os dados, enquanto um segundo programa, rodando na mesma m\u00e1quina, tentava intercept\u00e1-los. Embora isso funcione bem para um estudo acad\u00eamico te\u00f3rico, o modelo de ataque n\u00e3o era exatamente revolucion\u00e1rio. Afinal, se um hacker j\u00e1 consegue executar qualquer programa no computador, n\u00e3o precisa recorrer a canais laterais complexos; existem v\u00e1rias formas diretas de roubar dados.<\/p>\n<p>Ainda assim, o estudo do ano passado n\u00e3o foi em v\u00e3o. Ele comprovou que a resolu\u00e7\u00e3o obtida ao monitorar um SSD \u00e9 alta, que o vazamento de dados \u00e9 real e que as informa\u00e7\u00f5es capturadas podem, de fato, ser \u00fateis. O ataque FROST \u00e9 essencialmente uma continua\u00e7\u00e3o l\u00f3gica dessa mesma ideia.<\/p>\n<p>Veja como ele funciona na pr\u00e1tica. Imagine um arquivo relativamente grande armazenado em um SSD e preenchido com dados aleat\u00f3rios. Um processo espec\u00edfico l\u00ea esse conte\u00fado em intervalos regulares e mede quanto tempo leva para obter uma resposta. Essa velocidade varia dependendo do n\u00edvel de ocupa\u00e7\u00e3o da unidade com outras tarefas. Esses atrasos de acesso funcionam como sinais reveladores da atividade da unidade. Os pesquisadores austr\u00edacos demonstraram que registrar esses atrasos ao longo do tempo permite identificar com boa precis\u00e3o qual outra tarefa est\u00e1 sendo executada naquele exato momento.<\/p>\n<div id=\"attachment_25141\" style=\"width: 1471px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-25141\" class=\"wp-image-25141 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/06\/29105314\/frost-fingerprinting-attack-delays.jpg\" alt=\"Gr\u00e1ficos de lat\u00eancia\" width=\"1461\" height=\"831\"><p id=\"caption-attachment-25141\" class=\"wp-caption-text\">Padr\u00f5es distintos de lat\u00eancia gerados ao abrir sites espec\u00edficos <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf%20\" target=\"_blank\" rel=\"noopener nofollow\"> Fonte <\/a><\/p><\/div>\n<p>Os pesquisadores elaboraram gr\u00e1ficos de lat\u00eancia, como os acima, para v\u00e1rios sites e aplicativos executados localmente. O que eles encontraram foram padr\u00f5es distintos, ou assinaturas digitais geradas toda vez que um site espec\u00edfico \u00e9 carregado ou que um aplicativo \u00e9 iniciado. Capturar essas janelas extremamente r\u00e1pidas de carregamento exige monitoramento cont\u00ednuo do SSD por um longo per\u00edodo. Mesmo assim, os padr\u00f5es se mantiveram consistentes entre diferentes sistemas; os autores validaram o m\u00e9todo em um desktop Linux e em um Apple Mac Mini. A partir da\u00ed, parece simples: criar um cat\u00e1logo de assinaturas conhecidas, medir os atrasos reais do SSD, comparar os dois conjuntos e descobrir exatamente quais aplicativos o usu\u00e1rio est\u00e1 abrindo e quais sites est\u00e1 visitando. Mas como realizar esse tipo de vigil\u00e2ncia sem levantar suspeitas e sem instalar malwares no computador da v\u00edtima?<\/p>\n<p>\u00c9 a\u00ed que entra um recurso relativamente novo dos navegadores chamado Origin Private File System (OPFS). Um invasor hipot\u00e9tico n\u00e3o precisa convencer o usu\u00e1rio a baixar um cavalo de Troia malicioso. Basta fazer a v\u00edtima visitar uma p\u00e1gina especialmente criada, que usar\u00e1 o OPFS para monitorar silenciosamente a atividade do SSD. A sigla re\u00fane todos esses elementos: FROST significa Fingerprinting Remotely using OPFS-based SSD Timing (identifica\u00e7\u00e3o remota por assinatura digital com temporiza\u00e7\u00e3o de SSD baseada em OPFS). Veja o passo a passo de como todo o ataque acontece:<\/p>\n<div id=\"attachment_25143\" style=\"width: 1534px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-25143\" class=\"wp-image-25143 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/06\/29110454\/frost-fingerprinting-attack-scheme.jpg\" alt=\"Fluxo do ataque FROST\" width=\"1524\" height=\"817\"><p id=\"caption-attachment-25143\" class=\"wp-caption-text\">Como o m\u00e9todo FROST pode ser usado para espionar a atividade de um computador <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf%20\" target=\"_blank\" rel=\"noopener nofollow\"> Fonte <\/a><\/p><\/div>\n<h2>Limita\u00e7\u00f5es do m\u00e9todo<\/h2>\n<p>Como qualquer ataque de canal lateral, o FROST definitivamente n\u00e3o foi feito para ser r\u00e1pido. \u00c9 um processo lento e estruturado. Para descobrir exatamente o quanto, os pesquisadores constru\u00edram um ambiente de testes dedicado para medi-lo.<\/p>\n<div id=\"attachment_25144\" style=\"width: 1679px\" class=\"wp-caption aligncenter\"><img decoding=\"async\" aria-describedby=\"caption-attachment-25144\" class=\"wp-image-25144 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2026\/06\/29110604\/frost-fingerprinting-attack-test.jpg\" alt=\"Configura\u00e7\u00e3o do ambiente de testes do FROST\" width=\"1669\" height=\"600\"><p id=\"caption-attachment-25144\" class=\"wp-caption-text\">Estrutura de testes usada para medir a velocidade de extra\u00e7\u00e3o de dados via OPFS <a href=\"https:\/\/hannesweissteiner.com\/pdfs\/frost.pdf%20\" target=\"_blank\" rel=\"noopener nofollow\"> Fonte <\/a><\/p><\/div>\n<p>A equipe executou um programa em um computador para transmitir dados de forma indireta. Pense nisso como um espi\u00e3o digital transmitindo uma mensagem secreta alterando a forma como interage com a unidade de armazenamento. Por exemplo, um 1 no c\u00f3digo bin\u00e1rio da mensagem pode indicar que o programa est\u00e1 usando o SSD, enquanto um 0 indica que est\u00e1 inativo. Ao mesmo tempo, os pesquisadores configuraram no navegador um receptor que acessava a unidade de armazenamento via OPFS. Como tanto o receptor no navegador quanto o programa transmissor disputavam a largura de banda do SSD, o navegador sofria pequenos atrasos de acesso sempre que o transmissor estava enviando dados ativamente.<\/p>\n<p>Essa configura\u00e7\u00e3o inusitada conseguiu transmitir dados a 661 bits por segundo, com quase 90% de precis\u00e3o em um desktop Linux com processador AMD. Em um Apple Mac Mini executando o macOS, a taxa de transfer\u00eancia chegou a 719 bits por segundo, tamb\u00e9m com precis\u00e3o pr\u00f3xima de 90%. Embora esses n\u00fameros sejam um pouco inferiores aos do estudo do ano passado, que dependia de aplicativos instalados diretamente no computador, a diferen\u00e7a n\u00e3o \u00e9 t\u00e3o grande assim.<\/p>\n<p>Dito isso, a verdadeira amea\u00e7a do ataque FROST n\u00e3o est\u00e1 na transmiss\u00e3o bruta de dados, mas no rastreamento da atividade do usu\u00e1rio. Mesmo com um banco de dados de assinaturas digitais de aplicativos e sites espec\u00edficos, as informa\u00e7\u00f5es vazadas por uma p\u00e1gina maliciosa usando OPFS s\u00e3o pouco precisas e dif\u00edceis de correlacionar. Afinal, um computador est\u00e1 constantemente lendo e gravando dados no SSD em segundo plano. Para separar esse ru\u00eddo digital, os pesquisadores recorreram a uma ferramenta que est\u00e1 se tornando padr\u00e3o em ataques cibern\u00e9ticos modernos: uma rede neural. Uma IA treinada com assinaturas conhecidas de SSDs conseguiu identificar com seguran\u00e7a a atividade do usu\u00e1rio mesmo em meio a um cen\u00e1rio ca\u00f3tico de dados em segundo plano. Os resultados finais s\u00e3o impressionantes. No Apple Mac Mini, a IA identificou corretamente qual site o usu\u00e1rio abriu em 89% dos casos e detectou a abertura de aplicativos locais com 96% de precis\u00e3o. Mais importante: ela conseguiu identificar at\u00e9 quais sites foram abertos em um navegador completamente diferente daquele que estava executando a guia maliciosa. \u00c0 primeira vista, parece um cen\u00e1rio ideal para os hackers, exceto por uma longa lista de limita\u00e7\u00f5es no mundo real.<\/p>\n<h2>O ataque FROST representa uma amea\u00e7a real?<\/h2>\n<p>O simples fato de saber quais aplicativos foram abertos ou quais sites foram visitados n\u00e3o d\u00e1 ao invasor muita vantagem. Esse tipo de dado costuma ser mais \u00fatil para anunciantes interessados em tra\u00e7ar o perfil digital de um usu\u00e1rio sem autoriza\u00e7\u00e3o; ainda assim, aplicar esse m\u00e9todo de rastreamento em larga escala \u00e9 pouco realista. O principal obst\u00e1culo \u00e9 a forma como os computadores gerenciam dados: o sistema move os dados mais acessados para a mem\u00f3ria RAM, tornando-os praticamente invis\u00edveis ao FROST, que depende da medi\u00e7\u00e3o da largura de banda mais lenta do SSD f\u00edsico. Para contornar esse obst\u00e1culo, a p\u00e1gina maliciosa precisaria for\u00e7ar o OPFS a criar um arquivo gigantesco, com bem mais de 1 GB. Nem \u00e9 preciso dizer que um site consumindo recursos do disco de forma t\u00e3o agressiva levantaria suspeitas imediatamente. <a href=\"https:\/\/www.kaspersky.com.br\/next?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kdaily_wpplaceholder_sm-team___knext____fb70ab2bf4b2663b\" target=\"_blank\" rel=\"noopener\">Solu\u00e7\u00f5es de EDR ou XDR<\/a> provavelmente marcariam isso como atividade an\u00f4mala.<\/p>\n<p>No fim das contas, isso significa que o ataque FROST, como a maioria dos m\u00e9todos de espionagem por canal lateral, s\u00f3 \u00e9 vi\u00e1vel em opera\u00e7\u00f5es altamente direcionadas. Mas isso nos leva de volta ao ponto inicial: descobrir quais aplicativos algu\u00e9m abre ou quais p\u00e1ginas acessa \u00e9 uma recompensa relativamente pequena diante do enorme esfor\u00e7o necess\u00e1rio para executar um ataque t\u00e3o sofisticado.<\/p>\n<p>Ainda assim, o FROST est\u00e1 muito \u00e0 frente da maioria dos ataques acad\u00eamicos de canal lateral quando o assunto \u00e9 aplicabilidade no mundo real. Ele n\u00e3o exige malware pr\u00e9-instalado, e a v\u00edtima n\u00e3o precisa fazer nada al\u00e9m de abrir uma p\u00e1gina maliciosa. No m\u00ednimo, essa pesquisa serve como um lembrete importante de como os computadores modernos s\u00e3o complexos e de quantos pontos cegos inesperados podem acabar abrindo caminho para vazamentos de dados. Ao desenvolver sistemas ultrasseguros para informa\u00e7\u00f5es sigilosas, \u00e9 essencial considerar as particularidades do hardware. Se o objetivo for valioso o suficiente, um invasor determinado investir\u00e1 tempo para criar um ataque altamente espec\u00edfico e complexo. Pesquisas como esta mostram que, no universo da ciberseguran\u00e7a, esse cen\u00e1rio n\u00e3o \u00e9 imposs\u00edvel.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\">\n","protected":false},"excerpt":{"rendered":"<p>Pesquisadores austr\u00edacos descobriram uma nova e curiosa forma de hackers roubarem dados confidenciais.<\/p>\n","protected":false},"author":665,"featured_media":25139,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[3435,3383,1376,3436],"class_list":{"0":"post-25138","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ataques-de-canal-lateral","11":"tag-ataques-por-canal-lateral","12":"tag-hardware","13":"tag-ssd"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/frost-fingerprinting-attack\/25138\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/frost-fingerprinting-attack\/30818\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/frost-fingerprinting-attack\/25859\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/frost-fingerprinting-attack\/30661\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/frost-fingerprinting-attack\/29322\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/frost-fingerprinting-attack\/32274\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/frost-fingerprinting-attack\/42049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/frost-fingerprinting-attack\/55970\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/frost-fingerprinting-attack\/33662\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/frost-fingerprinting-attack\/30761\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/frost-fingerprinting-attack\/36329\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/frost-fingerprinting-attack\/36219\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ataques-por-canal-lateral\/","name":"ataques por canal lateral"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=25138"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25138\/revisions"}],"predecessor-version":[{"id":25146,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/25138\/revisions\/25146"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/25139"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=25138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=25138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=25138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}