Sicherheitslücke „SnailLoad“ verrät Online-Aktivitäten

Grazer TU-Experten zeigen, wie Latenzschwankungen der Internetverbindung detailliertes Ausspähen ohne Schadcode ermöglichen

Eine von Forschenden der TU Graz entdeckte Sicherheitslücke bei Online-Aktivitäten zeigt die Notwendigkeit stärkerer Cyber-Security-Maßnahmen. Einem IT-Team der TU Graz ist es zu Testzwecken gelungen, über sogenannte Latenzschwankungen die Online-Aktivitäten von Internetnutzern nachverfolgen.

Die Sicherheitslücke „SnailLoad“ ermögliche das im Bezug auf Videos und Websites auf allen Arten von Endgeräten und Internetverbindungen, informierte wie die TU Graz am Montag.

Lesen Sie auch

Ob das Ansehen eines Videos oder der Aufruf einer Homepage – Laut Stefan Gast vom Grazer Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) hinterlassen alle Online-Inhalte einen spezifischen „Fingerabdruck“: Sie werden für den effizienten Versand in kleine Datenpakete aufgeteilt, die nacheinander vom Server des Hosts an die User und Userinnen geschickt erden.

Das führt zu Geschwindigkeitsschwankungen der Internetverbindung. Experten bezeichnen das als Latenzzeit. Dieses Muster aus Anzahl und Größe dieser Datenpakete ist für jeden Onlineinhalt einzigartig – eben wie ein menschlicher Fingerabdruck, wie Gast erklärte.

Angreifer können das ausnützen, sobald sie einmal Kontakt zum Endgerät ihres Opfers herstellen können. Dabei könne „eine im Grunde harmlose kleine Datei“ vom Server der Angreifenden heruntergeladen werden.

Das Tückische dabei: Die Datei enthält keinen Schadcode und wird daher von der Sicherheitssoftware nicht erkannt. Somit lädt sie das System des Opfers ständig nach und liefere den Angreifenden dadurch laufend Informationen zu den Latenzzeiten der Internetverbindung und damit den Online-Aktivitäten des Opfers.

Um die Internetaktivitäten über die Latenzschwankungen nachzuverfolgen, haben die Forschenden für ihre Tests zuerst die „Fingerabdrücke“ einer begrenzten Zahl von Youtube-Videos und populärer Websites analysiert. Wenn diese von den Testpersonen genutzt wurden, konnten sie durch die jeweils entsprechenden Latenzschwankungen erkannt werden.

Beim Ausspionieren der Testpersonen, die Videos schauten, erzielte das Team schließlich eine Trefferquote von bis zu 98 Prozent. „Die Erfolgsrate war umso besser, je größer das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer waren“, betonte Daniel Gruss. Dementsprechend sank die Erfolgsquote beim Ausspähen des Besuchs einfacher Websites auf knapp über 60 Prozent.

„Wenn Angreifende ihre Machine-Learning-Modelle mit mehr Daten füttern als wir bei unserem Test, werden diese Werte aber sicher noch steigen“, zeigte sich Daniel Gruss überzeugt. Für ihn ist es auch klar, dass der Angriff auch andersrum funktionieren kann: Wenn das Opfer im Internet aktiv ist, könnte ein Angreifer zuerst die Latenzschwankungen messen und anschließend nach Online-Inhalten mit dem passenden „Fingerabdruck“ suchen.

Wie man die Sicherheitslücke schließen könnte, ist noch nicht gelöst. „Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kundinnen und Kunden nach einem zufälligen Muster künstlich verlangsamen“, so Daniel Gruss. Bei zeitkritischen Anwendungen wie Video-Konferenzen, Live-Streams oder Online-Computerspielen würde dies allerdings zu spürbaren Verzögerungen führen, wie Gruss erörterte.

Das Team um Stefan Gast und Daniel Gruss hat eine Website zu „SnailLoad“ eingerichtet. Ihr Paper zu der Sicherheitslücke werden sie auf den Fachkonferenzen Black Hat USA 2024 und USENIX Security Symposium präsentieren.

Weitere Informationen unter www.snailload.com

Das könnte Sie auch interessieren