Websites kunnen zien welke apps en sites gebruikers openen via ssd-activiteit

Oostenrijkse onderzoekers zeggen dat ze het surfgedrag en geopende apps van gebruikers kunnen tracken via de activiteit van de ssd. Dit was al bekend, maar de Oostenrijkse onderzoekers zeggen dat dit ook kan via de browser. Zo kunnen websites gebruikers bespioneren.

De onderzoekers noemen hun bevinding Frost, kort voor Fingerprinting Remotely using OPFS-based SSD Timing. Eerder onderzoek liet al zien dat het mogelijk is om het gedrag van gebruikers af te leiden aan de hand van variaties in de ssd-acces time.

Ssd-activiteit lezen via de browser

Het idee is dat Frost het geheugen van een pc vol laat lopen, waardoor de pc wordt gedwongen de ssd als geheugen te gebruiken. Wanneer dat gebeurt, laat de ssd bij het openen van bepaalde websites of apps specifiek gedrag zien, dat in de ssd beter te lezen is dan in het geheugen. Omdat elke app of sitebezoek specifiek gedrag laat zien, kan dat door een tool als Frost worden gedetecteerd, waardoor de tool de gebruiker kan bespioneren.

Frost herkent welke sites en apps worden geopend aan de hand van ssd-activiteit

Het was al bekend dat dit mogelijk was, maar tot dusver hadden onderzoekers geen methode bedacht waardoor het eenvoudig op de pc van een gebruiker te installeren was. De Oostenrijkse onderzoekers gebruiken hiervoor het Origin Private File System, kortweg OPFS, een JavaScript-api.

Dat OPFS is een bestandssysteem dat gebruikt wordt om bestanden op te slaan en te lezen op een pc. OPFS is sandboxed per tabblad, wat wil zeggen dat het systeem geen bestanden kan lezen of aanpassen buiten dat tabblad. OPFS vereist echter geen expliciete toestemming van de gebruiker en kan wel het gedrag van de ssd zien, waardoor het voor de onderzoekers een geschikte methode was om de ssd-accestimes te kunnen lezen.

Neuraal netwerk

De onderzoekers maakten een neuraal netwerk om de ssd-timings te kunnen herkennen en te koppelen aan bepaalde apps of sites. De onderzoekers zeggen dat ze zo met 88,95 procent nauwkeurigheid konden voorspellen welke website een gebruiker bezocht. Bij gebruikte apps was dit 95,83 procent.

Voor het misbruiken van Frost hoeven gebruikers alleen op malafide links te klikken. Frost kent ook beperkingen; de tool herkent alleen wat er gebeurt op de ssd waar de browser op draait. Apps die vanaf andere schijven worden gestart, worden dus niet herkend. Daarnaast is Frost ook weg als het tabblad wordt gesloten.

Fixes zijn mogelijk, maar komen niet snel

Frost is ook alleen getest op Mac, niet op Linux of Windows. In theorie zouden browsermakers Frost ook kunnen beperken, zeggen de onderzoekers. Google zei echter tegen de onderzoekers dat fingerprinting-aanvallen – wat Frost is – niet gezien wordt als een kwetsbaarheid. Apple zei dat de aanval nu out of scope was, maar sluit niet uit in de toekomst aan een fix te werken. Mozilla erkende de kwetsbaarheid maar heeft nog geen patch uitgebracht.

Frost

Door Hayte Hugo

Redacteur

Feedback • 29-05-2026 18:36
33 • submitter: Vanquish92

29-05-2026 • 18:36

33

Submitter: Vanquish92

Lees meer

Mozilla Firefox

geen prijs bekend

4.5 van 5 sterren
Apple Safari

geen prijs bekend

3.5 van 5 sterren
Polen onderzoekt of Apples tracking- en advertentiebeleid eerlijk is
Polen onderzoekt of Apples tracking- en advertentiebeleid eerlijk is Nieuws van 25 november 2025
Google Chrome

geen prijs bekend

4.5 van 5 sterren
Apple dreigt om antitrackingfunctie in de EU uit te schakelen
Apple dreigt om antitrackingfunctie in de EU uit te schakelen Nieuws van 24 oktober 2025
Meta moet Duitser 5000 euro schadevergoeding betalen vanwege illegale tracking
Meta moet Duitser 5000 euro schadevergoeding betalen vanwege illegale tracking Nieuws van 10 juli 2025
DPG Media wint Big Brother Award voor advertentietracking
DPG Media wint Big Brother Award voor advertentietracking Nieuws van 13 februari 2025
Meer producten en artikelen
Browsers Beveiliging en antivirus Privacy Apple Google Mozilla Chrome Firefox Safari

Reacties (33)

-Moderatie-faq
33
32
13
1
0
13
Wijzig sortering

Sorteer op:

Weergave:
lenwar
29 mei 2026 18:45
Google zei echter tegen de onderzoekers dat fingerprinting-aanvallen – wat Frost is – niet gezien wordt als een kwetsbaarheid
Dit is ook logisch. Dit is waar heel hun businessmodel op leunt. Dat Apple en Mozilla laks reageren, vind ik ergens wat vreemd. Die claimen privacy hoog in het vaandel te hebben. 🤨
Reageer
Polderviking @lenwar29 mei 2026 19:05
Laks lijkt me voor Mozilla wel ietwat kort door de bocht, er staat alleen maar dat er nog geen patch is.
Reageer
Rainboww @Polderviking29 mei 2026 20:48
Er is gewoon een easy fix: OPFS uitzetten via about:config
- dom.fs.enabled op false zetten
- dom.fs.writable_file_stream.enabled op false zetten
Noot: mogelijk dat enkele specifieke websites die perse met OPFS moeten werken kuren kunnen geven, maar goed, die kun je dan ook nog in een andere browser openen.
Reageer
Houtenklaas @lenwar29 mei 2026 19:18
Apple privacy hoog houden? Alleen om hun eigen inkomsten veilig te stellen ja ...

Uit de Volkskrant 14-11-2023:
Getuige: Google betaalt Apple 36 procent van de advertentie-inkomsten om standaardzoekmachine in Safari te blijven

Google draagt ruim eenderde van de advertentie-inkomsten af die het bedrijf met zoekopdrachten in Safari-browsers verdient, de standaardbrowser van iPhones en MacBooks. In ruil hiervoor biedt Apple Google als de standaardzoekmachine aan in Safari.
In 2021 was dat een bedrag van 26,3 miljard dollar. Apple heeft eenzelfde business model.

[Reactie gewijzigd door Houtenklaas op 29 mei 2026 19:21]

Reageer
iAR @Houtenklaas29 mei 2026 22:34
Dat is toch wel kort door de bocht. Ja, Apple geld. Maar welk alternatief is er? Moet Apple uit principe DuckDuckGo aanbieden terwijl Google de defacto standaard is?
Reageer
Houtenklaas @iAR29 mei 2026 22:53
Hoezo kort door de bocht? Wat ik oplepel is feitelijk aantoonbaar en 100% juist. En nee, Apple gaat niet van Google af, dat kost ze een kleine 30 miljard dollar op jaarbasis wat ook voor Apple nog steeds een hoop geld is.

En het zal me jeuken wat ze kiezen als zoekmachine, het gaat me er meer om dat ze geen haar beter zijn dan Google of welke andere big-tech. Jij als consument bent simpelweg een lopende geldmachine voor dit soort bedrijven, de één is hooguit iets minder slecht dan de andere. Zoals mijn vader vroeger zei ... Een 3 is beter dan een 1, maar beide zijn ruim onvoldoende.
Reageer
iAR @Houtenklaas29 mei 2026 23:20
Iemand voor veel geld de standaard zoek machine zijn is echt heel iets anders dan een bedrijf dat advertenties verkoopt en alles van je wil weten om dat beter te doen.
Reageer
bilgy_no1 @iAR29 mei 2026 23:54
Apple levert tegen betaling zijn klanten uit aan Google die de tracking doet. Ze zijn er dus gewoon medeplichtig aan en profiteren ervan. In een drugsorganisatie heb je ook verschillende rollen, maar die zijn allemaal medeplichtig.
Reageer
Houtenklaas @iAR30 mei 2026 00:18
Het is denk ik wat naïef om te veronderstellen dat Google niets met jouw Apple data doet. Het staat notabene in dat VK artikel. Omdat Apple jou als gebruiker naar Google duwt krijgen zij 30% van de inkomsten die dat oplevert, bijna 30 miljard dollar. De gezamelijke Apple gebruikers leveren dus elk jaar zo'n 100 Miljard dollar op aan inkomsten voor Apple/Google.

Als Apple echt om privacy gaf, zouden ze inderdaad DuckDuckGo als standaard meegeven en daar geen stuiver aan verdienen. Maar ja, ook Apple harkt die 30 miljard toch graag binnen elk jaar, dan maar ten koste van hun klanten.
Reageer
Mellow Jack @lenwar29 mei 2026 19:09
Hoe moeten ze hier anders op reageren? Voor mijn gevoel is dit wel een heel specifieke situatie waar vrijwel niemand mee in aanraking zal komen
Reageer
Menesis @lenwar29 mei 2026 19:31
Tja Safari is allang vastgelopen voordat je dat geheugen vol hebt en de swap wordt aangesproken :+
Reageer
Mars Warrior 29 mei 2026 19:00
Het idee is dat Frost het geheugen van een pc vol laat lopen, waardoor de pc wordt gedwongen de ssd als geheugen te gebruiken. Wanneer dat gebeurt, laat de ssd bij het openen van bepaalde websites of apps specifiek gedrag zien, dat in de ssd beter te lezen is dan in het geheugen
Lekkere aanpak. Eerst het geheugen laten vollopen en dan gaan meten. Dat valt toch op lijkt me. En een swapfile zal bij de meeste systemen niet erg groot zijn.

Maar die websites. Zouden ze die ook nog kunnen herkennen als je een reclame blocker gebruikt? Of andere plug-ins die je gebruikt en de site feitelijk wijzigen?
Reageer
SterkeYerke @Mars Warrior29 mei 2026 19:20
Eerst het geheugen laten vollopen en dan gaan meten. Dat valt toch op lijkt me.
Vroeger met harde schijven viel dat natuurlijk meteen op, maar is dat met moderne, snelle ssd’s nog wel zo?
Reageer
Darkjacky @SterkeYerke29 mei 2026 20:02
Tuurlijk valt het dan nog steeds op. De computer word ineens veel langzamer. Zelfs met SSD snelheden is RAM echt 10-100 keer zo snel in lezen en schrijven en 1000 keer sneller in access time. Bij het spelen van een spel merk het het meteen. Bij browsen iets minder snel.

Bovendien moeten ze dan bij mij 64GB - huidig gebruik schijven en dat valt meteen op als je dit in één keer doet.
Reageer
GertMenkel
@Mars Warrior29 mei 2026 21:25
Je hoeft niet het hele geheugen vol te gooien voor je besturingssysteem swap activeert. Als er veel vraag is naar RAM en oude data een tijd niet is opgevraagd, kan je besturingssysteem ook preventief pages naar swap schrijven.

Ik vraag me af of dit gedrag moeilijker of makkelijker te bepalen is met gecomprimeerd geheugen.

In principe kan iedere website die wordt ingeladen dit proces uitvoeren, dus je adblocker gaat dit niet tegenhouden als het script of domein niet al op de blacklist staat. Als een website een first party proxy gebruikt (dat wil zeggen, het domein van de website zelf de scripts serveert), wordt het helemaal een uitdaging.

Het is wel een agressieve en invasieve vorm van tracking die voor 95% van de gebruikers niet nodig is. Fingerprint.js kan je al lang volgen zonder cookies en zonder gigantische hoeveelheden RAM op te eten.
Reageer
AnonymousGerbil 29 mei 2026 19:02
Het idee is dat Frost het geheugen van een pc vol laat lopen, waardoor de pc wordt gedwongen de ssd als geheugen te gebruiken.
Los van de fingerprinting aanval komt het deze anonieme woestijnrat voor dat het sowieso ongewenst is dat een website dit zomaar teweeg kan brengen.
Reageer
LOTG @AnonymousGerbil29 mei 2026 19:33
Dat komt omdat OPFS volgens de onderzoekers in Chrome en Safari bestanden met een maximum grote van 60% van de totale disk size mag hebben. Er word dus een bestand aangemaakt wat groter is dan het geheugen en dat is genoeg.

En daar hoef je geen toestemming voor te geven...
Reageer
Cybje 29 mei 2026 19:08
Is je swap uitschakelen dan een goede mitigatie?

Ik zet swap meestal uit. Als m'n geheugen volloopt is er in de praktijk gewoon iets mis (bijv. een memory leak). Dan heb ik liever dat die applicatie wordt afgesloten. Anders is het alleen maar onnodige slijtage van de SSD.
Reageer
Soldaatje @Cybje29 mei 2026 19:13
Lijkt me niet goed voor een SSD inderdaad, beter gebruik maken van ram-compressie in plaats van swap, dat kost wat cpu maar is uiteindelijk wel sneller.
Reageer
NostraDavid 29 mei 2026 19:10
Hier is de verplichte https://amiunique.org/

Is niet hetzelfde als in het bericht, maar wel gerelateerd.
Reageer
Kalief @NostraDavid29 mei 2026 19:56
Een link dumpen zonder omschrijving wat en waarom is niet erg gebruikersvriendelijk.
Reageer
Accretion @Kalief29 mei 2026 20:27
AmIUnique.org is a browser fingerprinting tool. It studies the diversity of browsers to understand how identifiable they are. This mission aims at studying the diversity of browser fingerprints and providing developers with data. Developers use this data to design better privacy defenses.
Reageer
Haribo112 @NostraDavid29 mei 2026 21:04
Wat ik niet begrijp: hoe kan mijn user-agent zo uniek zijn? Het is "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:151.0) Gecko/20100101 Firefox/151.0", oftewel generiek Firefox-op-Mac... Dat is toch hetzelfde voor alle Firefox-op-Mac gebruikers? Maar volgens die site is de similarity 0,01%...
Reageer
GertMenkel
@Haribo11229 mei 2026 21:30
Je zit op een Intel Mac met de nieuwste Firefox volgens je user agent. Er zijn maar weinig bezoekers op de website geweest met die combinatie.

De uniekheid van je user agent is gebaseerd op bezoekers van de site, niet op het internet algeheel. Een unieke identifier voor een sessie genereren is ook vooral gebaseerd op een combinatie van factoren, met 0,01% kun je mensen niet over het internet volgen.

Ik ben zelf de eerste die de site bezoekt op Firefox Beta voor Android, dus ik heb een similarity van 0% 8-)
Reageer
Haribo112 @GertMenkel29 mei 2026 21:39
ja behalve dan dat ik een Mac met M1 processor heb, dus dat klopt al niet...
Reageer
Darkjacky 29 mei 2026 20:07
Hoe zit het met mijn setup waar ik de browser cache naar een Intel Optane cache drive laat schijven? Dat word waarschijnlijk niet gedetecteerd door dit soort exploits. Mijn intentie was om te voorkomen dat Twitch bijvoorbeeld mijn SSD kapot schrijft met caching die Brave doet. In broncontrole kan je zien dat alle requests naar appdata worden geschreven. Intel Optane zou een vrijwel oneindige write cycles kunnen doen dus leek mij ideaal om het dus daar op te cachen.
Reageer
chrome moral 29 mei 2026 20:16
De fix is makkelijk dus; als een tab meer dan een GB nodig heeft gewoon killen en legitieme websites whitelisten misschien.
Reageer
Raymond Deen @chrome moral29 mei 2026 21:06
Het zal je misschien verbazen hoe snel een tab daarop zit met veel websites. Die grens zou ik dus wel wat hoger zetten.
Reageer
chrome moral @Raymond Deen29 mei 2026 22:13
In Google Chrome of algemeen? Ben erg benieuwd naar de site dan, teams of zo iets waarbij je Quake3 in je browser speelt?
Reageer
kdekker 29 mei 2026 21:11
Maar als mensen ad-blockers gebruiken, firewall, av-producten, andere hoeveelheid geheugen, meer of minder krachtige cpu, andere programma's die ook draaien, dan is het patroon toch ook anders?

Ik kan de redenering volgen, maar of de erg praktisch te misbruiken is en of het woord spionage echt klopt kan ik lastig bepalen. Volgens mij is de variatie vrij groot en daarmee de detectie ratio lager.

Vroeger ooit iets gelezen over geluid van toetsaanslagen en de minimale timings verschillen (agv toets-afstanden), dat adh daarvan gegokt kon worden wat er getypt werd (1234 schijnt een patroon te zijn, dat herkend werd). Dit artikel klinkt als iets soortgelijks.
Reageer
jumbos7 29 mei 2026 22:52
Als je javascript standaard uit hebt staan en per site toe moet staan dan heb je in ieder geval iets minder kans dat je met het klikken op een link naar een onbekende site kwetsbaar bent. Ik vind Google's reactie wel erg laconiek. Er moet toch een zinnige limiet op wat OPFS mag doen en gebruiken zodat dit niet meer kan.
Reageer
FrostyPeet 30 mei 2026 00:09
Ik vind het wat vergezocht. Ook al kan het, dan wil dit nog niet zeggen dat het een betrouwbare methode is. Valt wat mij betreft in dezelfde categorie als een passwoord vinden door variaties in het geluid van de toetsen op een toetsenbord. Of zien of een persoon in huis is door het meten van afwijkingen van wifi signalen van de wifi router.
Reageer

Om te kunnen reageren moet je ingelogd zijn