Een groep beveiligingsonderzoekers van de Technische Universiteit van Graz heeft een nieuwe zijkanaalaanval gedemonstreerd, bekend als SnailLoad, die kan worden gebruikt om op afstand de webactiviteit van een gebruiker af te leiden.
“SnailLoad maakt misbruik van een knelpunt dat aanwezig is in alle internetverbindingen”, aldus de onderzoekers in een deze week gepubliceerde studie.
“Deze bottleneck beïnvloedt de latentie van netwerkpakketten, waardoor een aanvaller de huidige netwerkactiviteit op de internetverbinding van iemand anders kan afleiden. Een aanvaller kan deze informatie gebruiken om websites af te leiden die een gebruiker bezoekt of video’s die een gebruiker bekijkt.”
Een bepalend kenmerk van de aanpak is dat het de noodzaak overbodig maakt om een Adversary-in-the-Middle-aanval (AitM) uit te voeren of om in de fysieke nabijheid van de Wi-Fi-verbinding te zijn om netwerkverkeer te snuiven.
Concreet houdt het in dat een doelwit wordt misleid om een onschadelijk item (bijvoorbeeld een bestand, een afbeelding of een advertentie) te laden vanaf een door een bedreigingsactor bestuurde server, die vervolgens de netwerklatentie van het slachtoffer exploiteert als een zijkanaal om online-activiteiten op de computer te bepalen. slachtoffer systeem.
Om een dergelijke aanval met vingerafdrukken uit te voeren en te achterhalen welke video of website een gebruiker mogelijk bekijkt of bezoekt, voert de aanvaller een reeks latentiemetingen uit van de netwerkverbinding van het slachtoffer terwijl de inhoud wordt gedownload van de server terwijl deze aan het browsen of bekijken is.
Vervolgens gaat het om een nabewerkingsfase waarbij gebruik wordt gemaakt van een convolutioneel neuraal netwerk (CNN) dat is getraind met sporen van een identieke netwerkopstelling om de gevolgtrekking te maken met een nauwkeurigheid van maximaal 98% voor video’s en 63% voor websites.
Met andere woorden, vanwege de netwerkbottleneck aan de kant van het slachtoffer, kan de tegenstander de verzonden hoeveelheid data afleiden door de packet round trip time (RTT) te meten. De RTT-traces zijn uniek per video en kunnen worden gebruikt om de video te classificeren die door het slachtoffer is bekeken.
Deze aanval wordt zo genoemd omdat de aanvallende server het bestand met een slakkengang verstuurt om zo de verbindingslatentie over een langere periode te monitoren.
“SnailLoad vereist geen JavaScript, geen enkele vorm van code-uitvoering op het slachtoffersysteem en geen gebruikersinteractie, maar alleen een constante uitwisseling van netwerkpakketten”, legden de onderzoekers uit, eraan toevoegend dat het “de latentie naar het slachtoffersysteem meet en de netwerkactiviteit afleidt op het slachtoffersysteem van de latentievariaties.”
“De hoofdoorzaak van het zijkanaal is bufferen in een transportpadknooppunt, meestal het laatste knooppunt vóór de modem of router van de gebruiker, gerelateerd aan een kwaliteitsprobleem dat bufferbloat wordt genoemd.”
De onthulling komt omdat academici een beveiligingsfout hebben onthuld in de manier waarop routerfirmware omgaat met Network Address Translation (NAT)-toewijzingen die kunnen worden uitgebuit door een aanvaller die is verbonden met hetzelfde Wi-Fi-netwerk als het slachtoffer om de ingebouwde randomisatie in de transmissie te omzeilen. Controleprotocol (TCP).
“De meeste routers inspecteren om prestatieredenen de volgnummers van TCP-pakketten niet rigoureus”, aldus de onderzoekers. “Als gevolg hiervan introduceert dit ernstige beveiligingsproblemen die aanvallers kunnen misbruiken door vervalste reset-pakketten (RST) te maken om op kwaadaardige wijze NAT-toewijzingen in de router te wissen.”
Door de aanval kan de bedreigingsacteur in wezen de bronpoorten van andere clientverbindingen afleiden en het volgnummer en bevestigingsnummer van de normale TCP-verbinding tussen de slachtofferclient en de server stelen om manipulatie van de TCP-verbinding uit te voeren.
De kapingsaanvallen die op TCP zijn gericht, kunnen vervolgens worden ingezet als wapen om de HTTP-webpagina van een slachtoffer te vergiftigen of DoS-aanvallen (Denial-of-Service) uit te voeren, aldus de onderzoekers. Zij zeiden dat de OpenWrt-community en routerleveranciers zoals 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti en Xiaomi bezig zijn met patches voor de kwetsbaarheid.
