Siti Web e SSD: il nuovo metodo per tracciare gli utenti online

Un gruppo di ricercatori ha dimostrato che i browser moderni possono diventare strumenti di fingerprinting molto più invasivi del previsto.

La tecnica, già discussa dalla comunità di professionisti della sicurezza informatica, permette ai siti web di identificare un dispositivo osservando il comportamento dell’unità SSD durante operazioni JavaScript eseguite nel browser.

Non servono cookie tradizionali, permessi particolari o exploit del sistema operativo: bastano normali API web e misurazioni accurate dei tempi di risposta. Dopo anni di restrizioni imposte ai cookie di terze parti da Chrome, Firefox e Safari, il nuovo approccio segna un salto importante nelle tecniche di tracciamento online, spostando l’attenzione dall’software all’hardware del dispositivo

Come funziona il fingerprinting basato su SSD

La tecnica si appoggia principalmente alle API di IndexedDB e al comportamento del motore JavaScript del browser. Un sito può creare rapidamente grandi quantità di dati temporanei e misurare con estrema precisione i tempi necessari per le operazioni di lettura e scrittura sul disco.

Le unità SSD moderne non rispondono tutte allo stesso modo: latenza interna del controller, algoritmi di wear leveling, cache SLC e comportamento del firmware producono pattern temporali relativamente stabili e sufficientemente distintivi da generare un identificatore persistente del dispositivo.

La precisione aumenta quando il browser esegue operazioni concorrenti e quando il disco si trova sotto carico moderato. Il meccanismo ricorda i classici attacchi side-channel usati contro CPU e cache memory, ma applicato all’infrastruttura storage accessibile indirettamente dal browser.

JavaScript può effettuare sequenze intensive di scritture asincrone, cancellazioni rapide e accessi concorrenti, mentre il browser espone timer sufficientemente accurati da consentire l’analisi statistica dei tempi I/O. Anche dopo le restrizioni introdotte dai browser a seguito degli attacchi Spectre e Meltdown, le misurazioni restano abbastanza dettagliate da ricostruire il comportamento dell’SSD. L’intera tecnica non richiede malware locale né privilegi elevati: tutto il codice gira nel sandbox standard del browser.

Perché è difficile da bloccare e cosa potrebbero fare i browser

I sistemi anti-tracking tradizionali sono progettati per eliminare identificatori espliciti come cookie, localStorage condiviso e fingerprint grafici.

Il problema dei side-channel hardware è strutturalmente diverso: ogni dispositivo produce variazioni fisiche e temporali proprie, legate a livello di usura NAND, firmware installato, temperatura operativa e frammentazione interna. Un browser dovrebbe introdurre rumore artificiale nei tempi di accesso o limitare drasticamente le prestazioni delle API storage, rischiando però di compromettere applicazioni web moderne che dipendono da accessi locali veloci.

La pubblicazione dello studio ha riacceso il dibattito sulle API considerate troppo potenti per il web moderno. Google aveva già introdotto restrizioni sui timer JavaScript dopo Spectre nel 2018, Mozilla ha implementato il progetto Resist Fingerprinting in Firefox e Apple continua a limitare molte API considerate rischiose per la privacy.

Nel caso specifico di IndexedDB il problema è più delicato perché l’API rappresenta una componente fondamentale delle Progressive Web App: bloccarla o rallentarla potrebbe danneggiare editor collaborativi, sistemi offline e applicazioni enterprise basate sul browser.

Le contromisure attualmente disponibili restano limitate. Tor Browser riduce drasticamente la precisione dei timer e uniforma molte caratteristiche hardware; Firefox con la modalità Resist Fingerprinting può mitigare parzialmente questi attacchi.

La maggior parte dei browser mainstream, tuttavia, continua a privilegiare compatibilità e prestazioni. Il caso SSD dimostra che il tracciamento online non dipende più soltanto dai dati salvati nel browser: l’hardware stesso sta diventando una superficie osservabile, e ogni nuova API ad alte prestazioni rischia di trasformarsi in un ulteriore strumento di identificazione invisibile.