Bu anonimleştirme saldırısının nasıl çalıştığını açıklamak zordur, ancak ana fikir sahibi olduğunuzda kavraması nispeten kolaydır. Saldırıyı gerçekleştiren birinin başlamak için birkaç şeye ihtiyacı var: kontrol ettikleri bir web sitesi, o siteyi ziyaret ettiğini belirlemek istedikleri kişilere bağlı hesapların bir listesi ve hedef listesindeki hesapların platformlarına gönderilen içerik hedeflenen hesapların bu içeriği görüntülemesine izin verir veya görüntülemelerini engeller; saldırı her iki şekilde de çalışır.
Ardından, saldırgan yukarıda belirtilen içeriği kötü amaçlı web sitesine yerleştirir. Sonra kimin tıkladığını görmek için beklerler. Hedeflenen listedeki herhangi biri siteyi ziyaret ederse, saldırganlar, hangi kullanıcıların gömülü içeriği görüntüleyebileceğini (veya görüntüleyemediğini) analiz ederek kim olduklarını bilecektir.
Saldırı, çoğu insanın muhtemelen hafife aldığı bir dizi faktörden yararlanıyor: YouTube’dan Dropbox’a kadar birçok büyük hizmet, kullanıcıların medyayı barındırmasına ve üçüncü taraf bir web sitesine yerleştirmesine izin veriyor. Düzenli kullanıcılar genellikle bu her yerde bulunan hizmetlerde bir hesaba sahiptir ve en önemlisi, genellikle telefonlarında veya bilgisayarlarında bu platformlarda oturum açarlar. Son olarak, bu hizmetler, kullanıcıların kendilerine yüklenen içeriğe erişimi kısıtlamasına izin verir. Örneğin, Dropbox hesabınızı bir videoyu bir veya birkaç kullanıcıyla özel olarak paylaşacak şekilde ayarlayabilirsiniz. Veya bir videoyu herkese açık olarak Facebook’a yükleyebilir, ancak belirli hesapların onu görüntülemesini engelleyebilirsiniz.
Bu “engelleme” veya “izin verme” ilişkileri, araştırmacıların kimlikleri ortaya çıkarabileceklerini nasıl keşfettiklerinin püf noktasıdır. Örneğin, saldırının “izin ver” versiyonunda, bilgisayar korsanları, potansiyel ilgi çekici bir Gmail adresiyle Google Drive’da bir fotoğrafı sessizce paylaşabilir. Ardından fotoğrafı kötü niyetli web sayfalarına yerleştirir ve hedefi oraya çekerler. Ziyaretçilerin tarayıcıları fotoğrafı Google Drive aracılığıyla yüklemeye çalıştığında, saldırganlar bir ziyaretçinin içeriğe erişmesine izin verilip verilmediğini, yani söz konusu e-posta adresini kontrol edip etmediğini doğru bir şekilde anlayabilir.
Büyük platformların mevcut gizlilik korumaları sayesinde, saldırgan site ziyaretçisinin içeriği yükleyip yüklemediğini doğrudan kontrol edemez. Ancak NJIT araştırmacıları, içerik talebine izin verilip verilmediği veya reddedildiği konusunda bir çıkarım yapmak için istek gerçekleşirken hedefin tarayıcısı ve işlemcilerinin davranışı hakkında erişilebilir bilgileri analiz edebileceklerini fark ettiler.
Tekniği “olarak bilinir.yan kanal saldırısı” çünkü araştırmacılar, kurbanın tarayıcısının ve cihazının isteği nasıl işlediğine ilişkin görünüşte alakasız verileri ayrıştırmak için makine öğrenimi algoritmalarını eğiterek bu belirlemeyi doğru ve güvenilir bir şekilde yapabileceklerini keşfettiler. Saldırgan, içeriği görüntülemesine izin verdiği bir kullanıcının bunu yaptığını (veya engellediği bir kullanıcının engellendiğini) öğrendiğinde, site ziyaretçisinin anonimliğini kaldırmış olur.
Kulağa karmaşık gelse de araştırmacılar, saldırganlar hazırlık çalışmalarını yaptıktan sonra bunu gerçekleştirmenin kolay olacağı konusunda uyarıyorlar. Kötü amaçlı siteye gelen her bir ziyaretçinin maskesini potansiyel olarak kaldırmak yalnızca birkaç saniye sürer ve şüphelenmeyen bir kullanıcının saldırıyı algılaması neredeyse imkansız olurdu. Araştırmacılar, bu tür saldırıları engelleyebilecek bir tarayıcı uzantısı geliştirdiler ve Krom ve Firefox. Ancak performansı etkileyebileceğini ve tüm tarayıcılarda kullanılamadığını belirtiyorlar.
Araştırmacılar, çok sayıda web hizmetine, tarayıcıya ve web standartları kuruluşuna yapılan büyük bir ifşa süreciyle, sorunun kapsamlı bir şekilde nasıl ele alınacağı konusunda daha büyük bir tartışma başlattıklarını söylüyorlar. Şu anda, Krom ve Firefox yanıtları kamuoyuna açıklamadı. Ve Curtmola, sorunu çip düzeyinde ele almak için işlemcilerin tasarlanma biçiminde temel ve muhtemelen uygulanabilir olmayan değişikliklere ihtiyaç duyulacağını söylüyor. Yine de, World Wide Web Konsorsiyumu veya diğer forumlar aracılığıyla işbirlikçi tartışmaların nihayetinde geniş bir çözüm üretebileceğini söylüyor.
“Satıcılar, bunu çözmek için harcanan çabaya değip değmeyeceğini görmeye çalışıyor” diyor. “Bunu düzeltmeye yatırım yapmak için yeterince ciddi bir sorun olduğuna ikna olmaları gerekiyor.”