„SnailLoad“

Sicherheitslücke erlaubt Ausspähen ohne Schadcode

Wie man die Sicherheitslücke schließen könnte, ist noch nicht gelöst.

(Bild: snailload.com)

IT-Experten der TU Graz ist es gelungen, über sogenannte Latenzschwankungen die Online-Aktivitäten von Internetnutzern nachzuverfolgen. Die Sicherheitslücke „SnailLoad“ ermögliche das in Bezug auf Videos und Websites auf allen Arten von Endgeräten und Internetverbindungen.

Ob das Ansehen eines Videos oder der Aufruf einer Homepage – laut Stefan Gast vom Grazer Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) hinterlassen alle Online-Inhalte einen spezifischen „Fingerabdruck“: Sie werden für den effizienten Versand in kleine Datenpakete aufgeteilt, die nacheinander vom Server des Hosts an die User geschickt werden.

Das führt zu Geschwindigkeitsschwankungen der Internetverbindung. Experten bezeichnen das als Latenzzeit. Dieses Muster aus Anzahl und Größe dieser Datenpakete ist für jeden Online-Inhalt einzigartig – eben wie ein menschlicher Fingerabdruck, wie Gast erklärte.

Angreifer können das ausnützen, sobald sie einmal Kontakt zum Endgerät ihres Opfers herstellen können. Dabei könne „eine im Grunde harmlose kleine Datei“ vom Server der Angreifenden heruntergeladen werden.

Das Tückische dabei: Die Datei enthält keinen Schadcode und wird daher von der Sicherheitssoftware nicht erkannt. Somit lädt sie das System des Opfers ständig nach und liefere den Angreifenden dadurch laufend Informationen zu den Latenzzeiten der Internetverbindung und damit den Online-Aktivitäten des Opfers.

98-prozentige Trefferquote
Um die Internetaktivitäten über die Latenzschwankungen nachzuverfolgen, haben die Forschenden für ihre Tests zuerst die „Fingerabdrücke“ einer begrenzten Zahl von YouTube-Videos und populärer Websites analysiert. Wenn diese von den Testpersonen genutzt wurden, konnten sie durch die jeweils entsprechenden Latenzschwankungen erkannt werden.

Beim Ausspionieren der Testpersonen, die Videos schauten, erzielte das Team schließlich eine Trefferquote von bis zu 98 Prozent. „Die Erfolgsrate war umso besser, je größer das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer waren“, betonte Daniel Gruss. Dementsprechend sank die Erfolgsquote beim Ausspähen des Besuchs einfacher Websites auf knapp über 60 Prozent.

Angriff in beide Richtungen
„Wenn Angreifende ihre Machine-Learning-Modelle mit mehr Daten füttern als wir bei unserem Test, werden diese Werte aber sicher noch steigen“, zeigte sich Daniel Gruss überzeugt. Für ihn ist es auch klar, dass der Angriff auch andersrum funktionieren kann: Wenn das Opfer im Internet aktiv ist, könnte ein Angreifer zuerst die Latenzschwankungen messen und anschließend nach Online-Inhalten mit dem passenden „Fingerabdruck“ suchen.

Noch keine Lösung 
Wie man die Sicherheitslücke schließen könnte, ist noch nicht gelöst. „Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kundinnen und Kunden nach einem zufälligen Muster künstlich verlangsamen“, so Daniel Gruss. Bei zeitkritischen Anwendungen wie Video-Konferenzen, Live-Streams oder Online-Computerspielen würde dies allerdings zu spürbaren Verzögerungen führen, wie Gruss erörterte.

Das Team um Stefan Gast und Daniel Gruss hat eine Website zu „SnailLoad“ eingerichtet. Ihr Paper zu der Sicherheitslücke werden sie auf den Fachkonferenzen Black Hat USA 2024 und USENIX Security Symposium präsentieren.