Um novo ataque cibernético, denominado FROST, foi desenvolvido por pesquisadores da Universidade de Tecnologia de Graz e pode identificar quais sites um usuário visita e quais aplicativos ele abre, utilizando apenas JavaScript e o tempo de resposta do SSD. O ataque explora uma funcionalidade de armazenamento chamada Origin Private File System (OPFS), introduzida em 2023, que permite que aplicativos web mantenham arquivos no disco sem a necessidade de permissões usuais. Ao criar um arquivo maior que a memória RAM do dispositivo, o FROST consegue contornar o cache do sistema operacional, fazendo com que as leituras acessem diretamente o SSD. Isso permite que o código malicioso meça o tempo de leitura e identifique atividades concorrentes, como a abertura de sites ou aplicativos, com uma precisão alarmante de até 95,83% em testes. Embora a técnica ainda não tenha sido observada em ataques reais, a falta de respostas adequadas por parte dos desenvolvedores de navegadores, como Google e Mozilla, levanta preocupações sobre a privacidade e a segurança dos usuários. Para se proteger, recomenda-se fechar a aba do navegador quando não estiver em uso e monitorar o armazenamento do navegador em busca de arquivos grandes e inexplicáveis.
Fonte: https://thehackernews.com/2026/06/new-frost-attack-lets-websites-track.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
09/06/2026 • Risco: ALTO
VULNERABILIDADE
Ataque FROST: Site malicioso pode rastrear suas atividades online
RESUMO EXECUTIVO
O ataque FROST, que permite o rastreamento de atividades online através de técnicas de temporização, representa uma séria ameaça à privacidade dos usuários. Com uma precisão alarmante, ele pode identificar sites e aplicativos em uso, levantando preocupações sobre a segurança e a conformidade com a LGPD. A falta de respostas adequadas dos desenvolvedores de navegadores torna a situação ainda mais crítica.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido a vazamentos de dados e danos à reputação.
Operacional
Possibilidade de rastreamento de atividades online e vazamento de dados sensíveis.
Setores vulneráveis
['Setor financeiro', 'Setor de tecnologia', 'Setor de saúde']
📊 INDICADORES CHAVE
F1 score de 88.95% na identificação de sites
Indicador
95.83% de precisão na identificação de aplicativos nativos do macOS
Contexto BR
Transferência de dados a 661.63 bit/s em Linux
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há arquivos grandes e inexplicáveis no armazenamento do navegador.
2
Fechar a aba do navegador quando não estiver em uso para interromper o ataque.
3
Monitorar continuamente o uso do OPFS e a atividade de armazenamento do navegador.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de vazamento de informações sensíveis e a falta de proteção adequada em navegadores, o que pode impactar a conformidade com a LGPD.
⚖️ COMPLIANCE
Implicações diretas na conformidade com a LGPD, que protege dados pessoais dos usuários.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
