Onlineaktivitäten lassen sich allein durch Latenzschwankungen der Internetverbindung detailliert ausspähen, wie Sicherheitsorschende der TU Graz entdeckt haben. Der Angriff funktioniert ohne Schadcode oder Zugriff auf den Datenverkehr.
Internetnutzer hinterlassen viele Spuren auf Websites und bei Onlinediensten. Dagegen gibt es Massnahmen wie Firewalls, VPN-Verbindungen oder Browser-Privatmodi, um ein gewisses Mass an Datenschutz zu gewährleisten. Eine neu entdeckte Sicherheitslücke macht es möglich, sämtliche dieser Schutzmassnahmen zu umgehen: Informatiker vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der TU Graz konnten die Onlineaktivitäten von Usern allein durch Geschwindigkeitsschwankungen ihrer Internetverbindung im Detail mitverfolgen. Zum Ausnutzen dieser "SnailLoad" genannten Sicherheitslücke ist kein Schadcode notwendig, und auch der Datenverkehr muss dazu nicht abgefangen werden. Betroffen sind sämtliche Arten von Endgeräten und Internetverbindungen.
Das Opfer muss lediglich ein einziges Mal direkten Kontakt zum Angreifenden haben - etwa beim Besuch einer Website oder beim Schauen eines Werbevideos - und lädt dabei unbemerkt eine im Grunde harmlose Datei herunter. Weil diese Datei keinerlei Schadcode enthält, wird sie von Sicherheitssoftware nicht erkannt. Das Laden dieser Datei verläuft extrem langsam und liefert dabei dem Angreifenden laufend Informationen zu den Latenzzeiten der Internetverbindung des Opfers. Diese Informationen dienen in weiteren Schritten zur Rekonstruktion von dessen Online-Aktivität.
"Wenn das Opfer nun eine Website aufruft, ein Onlinevideo schaut oder mit jemandem per Video spricht, schwankt die Latenz der Internetverbindung nach einem ganz bestimmten Muster, das abhängig ist von den genutzten Inhalten", sagt Stefan Gast vom IAIK. Denn alle Online-Inhalte haben einen "Fingerabdruck“: Für den effizienten Versand sind sie in kleine Datenpakete aufgeteilt, die nacheinander vom Server des Hosts an die User geschickt werden. Das Muster aus Anzahl und Grösse dieser Datenpakete ist für jeden Onlineinhalt einzigartig – wie ein menschlicher Fingerabdruck.
Die Forschenden hatten für Testzwecke vorab die Fingerabdrücke einer begrenzten Zahl von Youtube-Videos und populärer Websites erhoben. Nutzten die Testpersonen diese Videos und Websites, konnten die Forschenden dies durch die korrespondierenden Latenzschwankungen erkennen. "Der Angriff würde aber auch andersherum funktionieren", sagt Daniel Gruss vom IAIK: "Angreifende messen zuerst das Muster der Latenzschwankungen, wenn ein Opfer im Internet aktiv ist, und suchen anschliessend nach Online-Inhalten mit passendem Fingerabdruck."
Beim Ausspionieren von Testpersonen, die Videos schauten, erreichten die Forschenden eine Trefferquote von bis zu 98 Prozent. "Die Erfolgsrate war umso besser, je grösser das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer ware"“, erläutert Gruss. Daher sank die Erfolgsquote beim Ausspähen des Besuchs einfacher Websites auf rund 63 Prozent. "Wenn Angreifende ihre Machine-Learning-Modelle mit mehr Daten füttern als wir bei unserem Test, werden diese Werte aber sicher noch steigen", hält der Forscher weiters fest.
"Die Sicherheitslücke zu schliessen, ist schwierig. Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kunden nach einem zufälligen Muster künstlich verlangsamen“, betont Gruss. Bei zeitkritischen Anwendungen wie Video-Konferenzen, Live-Streams oder Online-Computerspielen würde dies allerdings zu spürbaren Verzögerungen führen.
Das Team um Stefan Gast und Daniel Gruss hat eine Website zu SnailLoad eingerichtet. Das wissenschaftliche Paper zu der Sicherheitslücke werden die Forschenden auf den Fachkonferenzen Black Hat USA 2024 und Usenix Security Symposium präsentieren.
Diese Forschung ist im Field of Expertise "Information, Communication & Computing" verankert, einem von fünf strategischen Schwerpunktfeldern der TU Graz.
Der Online-Stellenmarkt für ICT Professionals