Um grupo de pesquisadores de segurança da Universidade de Tecnologia de Graz demonstrou um novo ataque de canal lateral conhecido como SnailLoad, que pode ser usado para inferir remotamente a atividade de um usuário na net.
“O SnailLoad explora um gargalo presente em todas as conexões de Web”, disseram os pesquisadores em um estudo divulgado esta semana.
“Esse gargalo influencia a latência dos pacotes de rede, permitindo que um invasor infira a atividade de rede atual na conexão de Web de outra pessoa. Um invasor pode usar essas informações para inferir websites que um usuário visita ou vídeos que um usuário assiste.”
Uma característica definidora da abordagem é que ela elimina a necessidade de realizar um ataque de adversário no meio (AitM) ou de estar em proximidade física com a conexão Wi-Fi para farejar o tráfego de rede.
Especificamente, isso envolve enganar um alvo para que ele carregue um ativo inofensivo (por exemplo, um arquivo, uma imagem ou um anúncio) de um servidor controlado pelo agente da ameaça, que então explora a latência da rede da vítima como um canal secundário para determinar atividades on-line no sistema da vítima.
Para executar esse ataque de impressão digital e descobrir qual vídeo ou website um usuário pode estar assistindo ou visitando, o invasor realiza uma série de medições de latência da conexão de rede da vítima enquanto o conteúdo é baixado do servidor enquanto ela navega ou visualiza.
Em seguida, envolve uma fase de pós-processamento que emprega uma rede neural convolucional (CNN) treinada com rastros de uma configuração de rede idêntica para fazer a inferência com uma precisão de até 98% para vídeos e 63% para websites.
Em outras palavras, devido ao gargalo da rede do lado da vítima, o adversário pode deduzir a quantidade de dados transmitidos medindo o tempo de ida e volta do pacote (RTT). Os rastreamentos RTT são únicos por vídeo e podem ser usados para classificar o vídeo assistido pela vítima.
O ataque recebe esse nome porque o servidor invasor transmite o arquivo em ritmo de tartaruga para monitorar a latência da conexão por um longo período de tempo.
“SnailLoad não requer JavaScript, nenhuma forma de execução de código no sistema da vítima e nenhuma interação do usuário, mas apenas uma troca constante de pacotes de rede”, explicaram os pesquisadores, acrescentando que “mede a latência do sistema da vítima e infere a atividade da rede em o sistema vítima das variações de latência.”
“A causa raiz do canal lateral é o buffer em um nó do caminho de transporte, normalmente o último nó antes do modem ou roteador do usuário, relacionado a um problema de qualidade de serviço chamado bufferbloat.”
A divulgação ocorre no momento em que acadêmicos revelam uma falha de segurança na maneira como o firmware do roteador lida com o mapeamento de tradução de endereço de rede (NAT) que poderia ser explorada por um invasor conectado à mesma rede Wi-Fi da vítima para contornar a randomização integrada no sistema de transmissão. Protocolo de controle (TCP).
“A maioria dos roteadores, por razões de desempenho, não inspeciona rigorosamente os números de sequência dos pacotes TCP”, disseram os pesquisadores. “Consequentemente, isso introduz sérias vulnerabilidades de segurança que os invasores podem explorar criando pacotes de redefinição forjada (RST) para limpar maliciosamente os mapeamentos NAT no roteador”.
O ataque essencialmente permite que o agente da ameaça deduza as portas de origem de outras conexões de clientes, bem como roube o número de sequência e o número de confirmação da conexão TCP regular entre o cliente vítima e o servidor para executar a manipulação da conexão TCP.
Os ataques de sequestro direcionados ao TCP poderiam então ser transformados em armas para envenenar a página HTTP da vítima ou realizar ataques de negação de serviço (DoS), de acordo com os pesquisadores, que disseram que patches para a vulnerabilidade estão sendo preparados pela comunidade OpenWrt, bem como por fornecedores de roteadores. como 360, Huawei, Linksys, Mercury, TP-Hyperlink, Ubiquiti e Xiaomi.
