SnailLoad: Новая side-channel атака на конфиденциальность пользователей
Исследователи из Грацкого технологического университета раскрыли детали новой side-channel атаки под названием SnailLoad. Эта атака позволяет злоумышленнику удаленно узнавать, какие сайты и контент просматривает пользователь без непосредственного доступа к его трафику.
SnailLoad не требует от злоумышленника проведения атаки man-in-the-middle (MitM), выполнения JavaScript или другого кода в системе жертвы. Однако исследователи продемонстрировали, что они могут определить, к каким видео на YouTube и сайтам обращался пользователь.
Для осуществления атаки SnailLoad злоумышленник проводит серию измерений задержки (latency) для различных видео на YouTube и сайтов, которые просматривает жертва. Полученные данные позволяют отслеживать время ожидания, включая специфические временные отклонения для каждого целевого видео или сайта, по сути, осуществляя фингерпринтинг каждого из них.
Далее злоумышленнику необходимо заставить целевого пользователя загрузить данные с вредоносного сервера. Он может убедить жертву загрузить определенный файл, но атака также будет работать с любым другим типом контента, включая таблицы стилей, шрифты, изображения или даже рекламу.
"Основная опасность заключается в том, что любой TCP-сервер может незаметно отслеживать latency всех клиентов, подключающихся к нему", - объясняют специалисты.
Важным аспектом атаки является то, что вредоносный сервер должен загружать контент очень медленно (отсюда и название SnailLoad), чтобы злоумышленник мог наблюдать за задержкой в течение продолжительного периода времени.
Таким образом, атака использует тот факт, что серверы обычно имеют быстрое интернет-соединение, в отличие от скорости, с которой трафик достигает систем провайдера или шлюза жертвы, где пакеты передаются с задержкой. Эти узкие места могут использоваться атакующим для измерения latency.
Полученные злоумышленником данные затем сравниваются с результатами проведенного ранее фингерпринтинга, что позволяет определить, какие конкретные видео или сайты из списка просматривала жертва во время проведения атаки SnailLoad.
Исследователи отмечают, что злоумышленник может использовать CNN (convolutional neural network) для изучения задержек каждого целевого объекта, а также последующего вычисления каждого сайта или видео.
Специалисты признают, что в текущем виде влияние атаки SnailLoad ограничено, поскольку злоумышленнику необходимо заранее составить список сайтов, которые может посетить жертва. Кроме того, точность атаки снижается, если жертва выполняет другие операции, помимо просмотра целевого видео или сайта.
В ходе испытаний, проведенных исследователями, которые охватили 10 видео на YouTube и 100 популярных сайтов, точность атаки варьировалась в диапазоне от 37 до 98% (в зависимости от типа целевого ресурса и типа интернет-соединения).
Более подробную информацию о SnailLoad специалисты планируют представить на конференции по информационной безопасности Black Hat USA 2024 этим летом.