Los investigadores de la Universidad Tecnológica de Graz pudieron espiar las actividades en línea de los usuarios simplemente monitoreando las fluctuaciones en la velocidad de su conexión a Internet. Esta vulnerabilidad, conocida como SnailLoad, no requiere código malicioso para explotarla y no es necesario interceptar el tráfico de datos. Todo tipo de dispositivos finales y conexiones a Internet se ven afectados.
Configuración del ataque SnailLoad
- La víctima se comunica con un servidor.
- El servidor tiene una conexión a Internet rápida, la conexión de última milla de la víctima es comparativamente lenta.
- Los paquetes del atacante a la víctima se retrasan si la última milla está ocupada.
- En un ataque de canal lateral, el atacante infiere qué sitio web o vídeo está viendo el usuario.
La víctima desprevenida sólo necesita tener un único contacto directo con el atacante, por ejemplo, cuando visita un sitio web o mira un vídeo promocional. Durante esta interacción, la víctima, sin saberlo, descarga un archivo esencialmente inofensivo. Este archivo, desprovisto de cualquier código malicioso, evade la detección por parte del software de seguridad. La transferencia de este archivo es tremendamente lenta y proporciona al atacante información continua sobre la variación de la latencia de la conexión a Internet de la víctima. Este enfoque sigiloso permite al atacante reconstruir la actividad en línea de la víctima, lo que representa una amenaza para su privacidad .
SnailLoad combina datos de latencia con huellas dactilares de contenido en línea
«Cuando la víctima accede a un sitio web, ve un vídeo en línea o habla con alguien por vídeo, la latencia de la conexión a Internet fluctúa según un patrón específico que depende del contenido concreto que se utilice», afirma Stefan Gast del IAIK.
Esto se debe a que todo el contenido online tiene una “huella digital” única. Para una transmisión eficiente, el contenido en línea se divide en pequeños paquetes de datos que se envían uno tras otro desde el servidor host al usuario. El patrón de número y tamaño de estos paquetes de datos es único para cada contenido en línea, como una huella digital humana.
Los investigadores recogieron de antemano las huellas dactilares de un número limitado de vídeos de YouTube y sitios web populares con fines de prueba. Cuando los sujetos de prueba utilizaron estos vídeos y sitios web, los investigadores pudieron reconocerlo a través de las correspondientes fluctuaciones de latencia. «Sin embargo, el ataque también funcionaría al revés», afirma Daniel Gruss del IAIK: «Los atacantes primero miden el patrón de fluctuaciones de latencia cuando una víctima está en línea y luego buscan contenido en línea con la huella digital correspondiente».
Las conexiones lentas a Internet facilitan las cosas a los atacantes
Al espiar a los sujetos de prueba que veían vídeos, los investigadores lograron una tasa de éxito de hasta el 98 por ciento.
«Cuanto mayor sea el volumen de datos de los vídeos y más lenta sea la conexión a Internet de las víctimas, mayor será la tasa de éxito», explica Gruss. En consecuencia, la tasa de éxito del espionaje de sitios web básicos cayó a alrededor del 63 por ciento. «Sin embargo, si los atacantes alimentan sus modelos de aprendizaje automático con más datos que nosotros en nuestra prueba, estos valores ciertamente aumentarán», agregó Gruss.
Laguna jurídica prácticamente imposible de cerrar
“Cerrar esta brecha de seguridad es difícil. La única opción sería que los proveedores ralentizaran artificialmente las conexiones a Internet de sus clientes siguiendo un patrón aleatorio”, afirmó Gruss. Sin embargo, esto provocaría retrasos notables en aplicaciones en las que el tiempo es crítico, como videoconferencias, transmisiones en vivo o juegos de computadora en línea.
Fuente y redacción: helpnetsecurity.com
