Un groupe de chercheurs en sécurité de l’Université de technologie de Graz a démontré une nouvelle attaque par canal auxiliaire connue sous le nom de SnailLoad qui pourrait être utilisée pour déduire à distance l’activité Web d’un utilisateur.
« SnailLoad exploite un goulot d’étranglement présent sur toutes les connexions Internet », expliquent les chercheurs dit dans une étude publiée cette semaine.
« Ce goulot d’étranglement influence la latence des paquets réseau, permettant à un attaquant de déduire l’activité réseau actuelle sur la connexion Internet de quelqu’un d’autre. Un attaquant peut utiliser ces informations pour déduire des sites Web visités par un utilisateur ou des vidéos qu’un utilisateur regarde. »
L’une des caractéristiques déterminantes de cette approche est qu’elle évite d’avoir à mener une attaque de type « adversaire du milieu » (AitM) ou à se trouver à proximité physique de la connexion Wi-Fi pour détecter le trafic réseau.
Plus précisément, cela implique d’inciter une cible à charger un actif inoffensif (par exemple, un fichier, une image ou une publicité) à partir d’un serveur contrôlé par un acteur malveillant, qui exploite ensuite la latence du réseau de la victime comme canal secondaire pour déterminer les activités en ligne sur le réseau. système de victimes.
Pour effectuer une telle attaque d’empreintes digitales et déterminer quelle vidéo ou quel site Web un utilisateur pourrait regarder ou visiter, l’attaquant effectue une série de mesures de latence de la connexion réseau de la victime pendant que le contenu est téléchargé depuis le serveur pendant qu’il navigue ou regarde.
Cela implique ensuite une phase de post-traitement qui utilise un réseau neuronal convolutif (CNN) formé avec des traces provenant d’une configuration de réseau identique pour effectuer l’inférence avec une précision allant jusqu’à 98 % pour les vidéos et 63 % pour les sites Web.
En d’autres termes, en raison du goulot d’étranglement du réseau du côté de la victime, l’adversaire peut déduire la quantité de données transmise en mesurant le temps de parcours aller-retour (RTT) des paquets. Les traces RTT sont uniques par vidéo et peuvent être utilisées pour classer la vidéo regardée par la victime.
L’attaque est ainsi nommée car le serveur attaquant transmet le fichier à une vitesse d’escargot afin de surveiller la latence de la connexion sur une période de temps prolongée.
« SnailLoad ne nécessite aucun JavaScript, aucune forme d’exécution de code sur le système victime et aucune interaction avec l’utilisateur, mais seulement un échange constant de paquets réseau », ont expliqué les chercheurs, ajoutant qu’il « mesure la latence du système victime et déduit l’activité réseau sur le système victime à partir des variations de latence ».
« La cause première du canal secondaire est la mise en mémoire tampon dans un nœud de chemin de transport, généralement le dernier nœud avant le modem ou le routeur de l’utilisateur, lié à un problème de qualité de service appelé tamponnage« .
Cette révélation intervient alors que des universitaires ont révélé une faille de sécurité dans la manière dont le micrologiciel du routeur gère le mappage de traduction d’adresses réseau (NAT) qui pourrait être exploitée par un attaquant connecté au même réseau Wi-Fi que la victime pour contourner la randomisation intégrée dans le protocole de contrôle de transmission (TCP).
« La plupart des routeurs, pour des raisons de performances, n’inspectent pas rigoureusement les numéros de séquence des paquets TCP », expliquent les chercheurs. dit« Par conséquent, cela introduit de graves vulnérabilités de sécurité que les attaquants peuvent exploiter en créant de faux paquets de réinitialisation (RST) pour effacer de manière malveillante les mappages NAT dans le routeur. »
L’attaque permet essentiellement à l’acteur malveillant de déduire les ports sources d’autres connexions client ainsi que de voler le numéro de séquence et le numéro d’accusé de réception de la connexion TCP normale entre le client victime et le serveur afin d’effectuer une manipulation de connexion TCP.
Les attaques de piratage ciblant TCP pourraient ensuite être utilisées pour empoisonner la page Web HTTP d’une victime ou organiser des attaques par déni de service (DoS), selon les chercheurs, qui ont déclaré que des correctifs pour la vulnérabilité étaient en cours de préparation par la communauté OpenWrt ainsi que par les fournisseurs de routeurs. comme 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti et Xiaomi.