SnailLoad: Sicherheitslücke ermöglicht Überwachung besuchter Websites und angesehener Videos

„SnailLoad“ basiert auf Abgleich der Latenzzeiten von Internetverbindungen mit „Fingerabdruck“ der Online-Inhalte

[datensicherheit.de, 24.06.2024] Informatiker vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der TU Graz warnen in einer aktuellen Stellungnahme davor, dass sich Online-Aktivitäten allein durch Latenzschwankungen der Internetverbindung detailliert ausspähen lassen – ein solcher Angriff funktioniert demnach.

Abbildung: IAIK – TU Graz

IAIK-Entdeckung: Der Sicherheitslücke „SnailLoad“ wäre nur umständlich zu begegnen

Zum Ausnutzen von „SnailLoad“ kein Schadcode notwendig

Internetnutzer hinterlassen bekanntlich viele Spuren auf Websites und bei Online-Diensten. Dagegen sollen Maßnahmen mittels Firewalls, VPN-Verbindungen oder Browser-Privatmodi helfen, um ein gewisses Maß an Datenschutz zu gewährleisten. Eine neu entdeckte Sicherheitslücke mache es nun aber möglich, sämtliche dieser Schutzmaßnahmen zu umgehen:

IAIK-Informatiker hätten die Online-Aktivitäten von Nutzern allein durch Geschwindigkeitsschwankungen ihrer Internetverbindung im Detail mitverfolgen können. Zum Ausnutzen dieser „SnailLoad“ genannten Sicherheitslücke sei kein Schadcode notwendig, und auch der Datenverkehr müsse dazu nicht abgefangen werden. „Betroffen sind sämtliche Arten von Endgeräten und Internetverbindungen!“

Das Opfer müsse lediglich ein einziges Mal direkten Kontakt zum Angreifer haben – etwa beim Besuch einer Website oder beim Schauen eines Werbevideos – und lade dabei unbemerkt eine im Grunde harmlose Datei herunter. „Weil diese Datei keinerlei Schadcode enthält, wird sie von Sicherheitssoftware nicht erkannt.“ Das Laden dieser Datei verlaufe extrem langsam und liefere dabei dem Angreifer laufend Informationen zu den Latenzzeiten der Internetverbindung des Opfers. Diese Informationen dienten in weiteren Schritten zur Rekonstruktion von dessen Online-Aktivität.

„SnailLoad“ kombiniert Latenzzeiten mit „Fingerabdruck“ von Online-Inhalten

„Wenn das Opfer nun eine Website aufruft, ein Online-Video schaut oder mit jemandem per Video spricht, schwankt die Latenz der Internetverbindung nach einem ganz bestimmten Muster, das abhängig ist von den genutzten Inhalten“, erläutert Stefan Gast vom IAIK. Denn alle Online-Inhalte hätten einen „Fingerabdruck“: Für den effizienten Versand seien diese in kleine Datenpakete aufgeteilt, welche nacheinander vom Server des Hosts an die Nutzer geschickt würden. „Das Muster aus Anzahl und Größe dieser Datenpakete ist für jeden Online-Inhalt einzigartig – wie ein menschlicher Fingerabdruck.“

Die Forscher hatten für Testzwecke vorab die „Fingerabdrücke“ einer begrenzten Zahl von „YouTube“-Videos und populärer Websites erhoben. Nutzten die Testpersonen diese Videos und Websites, hätten die Forscher dies durch die korrespondierenden Latenzschwankungen erkennen können.

„Der Angriff würde aber auch andersherum funktionieren“, führt Daniel Gruss vom IAIK aus: „Angreifende messen zuerst das Muster der Latenzschwankungen, wenn ein Opfer im Internet aktiv ist, und suchen anschließend nach Online-Inhalten mit passendem Fingerabdruck.“

„SnailLoad“-Sicherheitslücke zu schließen sehr schwierig

Beim Ausspionieren von Videos schauenden Testpersonen hätten Forscher eine Trefferquote von bis zu 98 Prozent erreicht. „Die Erfolgsrate war umso besser, je größer das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer waren“, berichtet Gruss. Daher sei die Erfolgsquote beim Ausspähen des Besuchs einfacher Websites auf rund 63 Prozent gesunken. Er warnt: „Wenn Angreifende ihre Machine-Learning-Modelle mit mehr Daten füttern als wir bei unserem Test, werden diese Werte aber sicher noch steigen.“

Diese Sicherheitslücke zu schließen, sei schwierig. Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kunden nach einem zufälligen Muster künstlich verlangsamten. Bei zeitkritischen Anwendungen wie Video-Konferenzen, Live-Streams oder Online-Computerspielen würde dies allerdings zu spürbaren Verzögerungen führen.

Das Team um Stefan Gast und Daniel Gruß hat eine Website zu „SnailLoad“ eingerichtet. Das wissenschaftliche Papier zu dieser Sicherheitslücke möchten die Forscher auf den Fachkonferenzen „Black Hat USA 2024“ und „USENIX Security Symposium“ präsentieren.

Weitere Informationen zum Thema:

SnailLoad
Remote Network Latency Measurements Leak User Activity

TU Graz
Überblick Information, Communication & Computing