Graz Teknoloji Üniversitesi’nden bir grup güvenlik araştırmacısı, SnailLoad olarak bilinen ve bir kullanıcının web etkinliğini uzaktan anlamak için kullanılabilecek yeni bir yan kanal saldırısı gösterdi.
Araştırmacılar, bu hafta yayınlanan bir çalışmada “SnailLoad, tüm İnternet bağlantılarında mevcut olan bir darboğazdan yararlanıyor” dedi.
“Bu darboğaz, ağ paketlerinin gecikmesini etkileyerek, saldırganın bir başkasının İnternet bağlantısındaki mevcut ağ etkinliğini çıkarmasına olanak tanır. Saldırgan, bu bilgiyi, bir kullanıcının ziyaret ettiği web sitelerini veya bir kullanıcının izlediği videoları çıkarmak için kullanabilir.”
Bu yaklaşımın tanımlayıcı bir özelliği, bir aracı saldırı (AitM) gerçekleştirme veya ağ trafiğini koklamak için Wi-Fi bağlantısına fiziksel olarak yakın olma ihtiyacını ortadan kaldırmasıdır.
Spesifik olarak, bir hedefin, tehdit aktörü tarafından kontrol edilen bir sunucudan zararsız bir varlık (örn. bir dosya, resim veya bir reklam) yüklemesi için kandırılması ve daha sonra bu sunucunun, kurbanın ağ gecikmesinden bir yan kanal olarak yararlanarak çevrimiçi etkinlikleri belirlemesi anlamına gelir. kurban sistemi.
Böyle bir parmak izi saldırısı gerçekleştirmek ve kullanıcının hangi videoyu veya web sitesini izlediğini veya ziyaret ettiğini öğrenmek için saldırgan, kurbanın ağ bağlantısına ilişkin, içerik sunucuya göz atarken veya görüntülerken sunucudan indirilirken bir dizi gecikme ölçümü gerçekleştirir.
Daha sonra, aynı ağ kurulumundan alınan izlerle eğitilen bir evrişimli sinir ağı (CNN) kullanılarak, videolar için %98’e varan, web siteleri için ise %63’e varan doğrulukla çıkarımların yapıldığı bir son işleme aşamasına geçiliyor.
Başka bir deyişle, kurban tarafındaki ağ darboğazından dolayı, saldırgan, paketin gidiş-dönüş süresini (RTT) ölçerek iletilen veri miktarını çıkarabilmektedir. RTT izleri video başına benzersizdir ve mağdurun izlediği videoyu sınıflandırmak için kullanılabilir.
Saldırıya bu isim verilmesinin nedeni, saldırgan sunucunun bağlantı gecikmesini uzun bir süre boyunca izleyebilmek için dosyayı salyangoz hızıyla iletmesi.
Araştırmacılar, “SnailLoad hiçbir JavaScript gerektirmez, kurban sisteminde herhangi bir kod yürütme biçimi gerektirmez ve kullanıcı etkileşimi gerektirmez, yalnızca ağ paketlerinin sürekli değişimini gerektirir” diye açıklayan araştırmacılar, “kurban sistemindeki gecikmeyi ölçer ve ağ etkinliği hakkında çıkarımda bulunur” diye ekledi. gecikme değişikliklerinden dolayı kurban sistemini.”
“Yan kanalın temel nedeni, bufferbloat adı verilen bir hizmet kalitesi sorunuyla ilgili olarak, genellikle kullanıcının modemi veya yönlendiricisinden önceki son düğüm olan bir aktarım yolu düğümünde ara belleğe almadır.”
Açıklama, akademisyenlerin, saldırganın kurbanla aynı Wi-Fi ağına bağlanarak İletim Kontrol Protokolü’ndeki (TCP) yerleşik rastgeleleştirmeyi aşmak için kullanabileceği, yönlendirici aygıt yazılımının Ağ Adresi Çevirisi (NAT) eşlemesini işleme biçimindeki bir güvenlik açığını ifşa etmesinin ardından geldi.
Araştırmacılar, “Çoğu yönlendirici performans nedenleriyle TCP paketlerinin sıra numaralarını titizlikle incelemiyor” dedi. “Sonuç olarak bu, saldırganların yönlendiricideki NAT eşlemelerini kötü niyetli olarak temizlemek için sahte sıfırlama (RST) paketleri hazırlayarak yararlanabilecekleri ciddi güvenlik açıklarına yol açıyor.”
Saldırı, esasen tehdit aktörünün diğer istemci bağlantılarının kaynak portlarını çıkarmasına ve kurban istemci ile sunucu arasındaki normal TCP bağlantısının sıra numarasını ve onay numarasını çalarak TCP bağlantı manipülasyonu gerçekleştirmesine olanak tanır.
Araştırmacılara göre, TCP’yi hedef alan ele geçirme saldırıları, kurbanın HTTP web sayfasını zehirlemek veya hizmet reddi (DoS) saldırıları gerçekleştirmek için silah haline getirilebilir; araştırmacılar, güvenlik açığına yönelik yamaların OpenWrt topluluğu ve yönlendirici satıcıları tarafından hazırlandığını söyledi. 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti ve Xiaomi gibi.