Un grupo de investigadores de seguridad de la Universidad Tecnológica de Graz ha demostrado un nuevo ataque de canal lateral conocido como SnailLoad que podría usarse para inferir de forma remota la actividad web de un usuario.
«SnailLoad aprovecha un cuello de botella presente en todas las conexiones a Internet», afirman los investigadores dicho en un estudio publicado esta semana.
«Este cuello de botella influye en la latencia de los paquetes de red, lo que permite a un atacante inferir la actividad actual de la red en la conexión a Internet de otra persona. Un atacante puede utilizar esta información para inferir los sitios web que visita un usuario o los vídeos que mira un usuario».
Una característica definitoria de este enfoque es que elimina la necesidad de llevar a cabo un ataque de adversario en el medio (AitM) o estar en proximidad física a la conexión Wi-Fi para rastrear el tráfico de la red.
En concreto, implica engañar a un objetivo para que cargue un activo inofensivo (por ejemplo, un archivo, una imagen o un anuncio) desde un servidor controlado por un actor de amenazas, que luego explota la latencia de la red de la víctima como canal secundario para determinar las actividades en línea en el sistema de la víctima.
Para realizar un ataque de huellas dactilares de este tipo y detectar qué vídeo o sitio web podría estar viendo o visitando un usuario, el atacante realiza una serie de mediciones de latencia de la conexión de red de la víctima a medida que el contenido se descarga del servidor mientras navega o visualiza.
Luego implica una fase de posprocesamiento que emplea una red neuronal convolucional (CNN) entrenada con rastros de una configuración de red idéntica para hacer la inferencia con una precisión de hasta el 98% para videos y el 63% para sitios web.
En otras palabras, debido al cuello de botella de la red del lado de la víctima, el adversario puede deducir la cantidad de datos transmitidos midiendo el tiempo de ida y vuelta (RTT) del paquete. Los rastros de RTT son únicos por video y se pueden usar para clasificar el video visto por la víctima.
El ataque se llama así porque el servidor atacante transmite el archivo a paso de tortuga para monitorear la latencia de la conexión durante un período prolongado de tiempo.
«SnailLoad no requiere JavaScript, ningún tipo de ejecución de código en el sistema de la víctima ni interacción del usuario, sino solo un intercambio constante de paquetes de red», explicaron los investigadores, y agregaron que «mide la latencia del sistema de la víctima e infiere la actividad de la red en el sistema de la víctima a partir de las variaciones de latencia».
«La causa principal del canal lateral es el almacenamiento en búfer en un nodo de ruta de transporte, normalmente el último nodo antes del módem o enrutador del usuario, relacionado con un problema de calidad de servicio llamado hinchazón del buffer«.
La revelación se produce luego de que los académicos revelaran una falla de seguridad en la forma en que el firmware del enrutador maneja el mapeo de Traducción de Direcciones de Red (NAT) que podría ser explotada por un atacante conectado a la misma red Wi-Fi que la víctima para eludir la aleatorización incorporada en el Protocolo de Control de Transmisión (TCP).
«La mayoría de los enrutadores, por razones de rendimiento, no inspeccionan rigurosamente los números de secuencia de los paquetes TCP», afirman los investigadores. dicho«En consecuencia, esto introduce vulnerabilidades de seguridad graves que los atacantes pueden explotar creando paquetes de reinicio falsificados (RST) para borrar maliciosamente las asignaciones de NAT en el enrutador».
El ataque esencialmente permite al actor de la amenaza inferir los puertos de origen de otras conexiones de cliente, así como robar el número de secuencia y el número de reconocimiento de la conexión TCP normal entre el cliente víctima y el servidor para realizar una manipulación de la conexión TCP.
Los ataques de secuestro dirigidos a TCP podrían luego usarse como arma para envenenar la página web HTTP de una víctima o realizar ataques de denegación de servicio (DoS), según los investigadores, quienes dijeron que la comunidad OpenWrt y los proveedores de enrutadores están preparando parches para la vulnerabilidad. como 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti y Xiaomi.