Một nhóm các nhà nghiên cứu an ninh từ Đại học Kỹ thuật Graz vừa chứng minh một cuộc tấn công mới thông qua kênh bên, được gọi là SnailLoad, có thể được sử dụng để từ xa suy luận về hoạt động web của người dùng.
“SnailLoad lợi dụng một điểm nghẽn hiện có trên tất cả các kết nối Internet”, các nhà nghiên cứu cho biết trong một nghiên cứu được công bố tuần này.
“Điểm nghẽn này ảnh hưởng đến độ trễ của các gói tin mạng, cho phép kẻ tấn công suy luận về hoạt động mạng hiện tại trên kết nối Internet của người khác. Kẻ tấn công có thể sử dụng thông tin này để suy luận các trang web mà người dùng truy cập hoặc video mà người dùng xem.”
Một đặc điểm quan trọng của phương pháp tiếp cận này là nó loại bỏ sự cần thiết phải thực hiện một cuộc tấn công kẻ xâm nhập giữa (AitM) hoặc ở gần kết nối Wi-Fi để nghe lén lưu lượng mạng.
Cụ thể, nó bao gồm việc lừa một mục tiêu tải xuống một tài sản vô hại (ví dụ: tệp, hình ảnh hoặc quảng cáo) từ máy chủ do kẻ tấn công kiểm soát, sau đó lợi dụng độ trễ mạng của nạn nhân như một kênh bên để xác định các hoạt động trực tuyến trên hệ thống nạn nhân.
Để thực hiện một cuộc tấn công dạng dấu vân tay như vậy và thu thập thông tin về video hoặc trang web mà người dùng có thể đang xem hoặc truy cập, kẻ tấn công thực hiện một loạt các phép đo độ trễ của kết nối mạng của nạn nhân khi nội dung đang được tải xuống từ máy chủ trong khi họ đang duyệt web hoặc xem video.
Sau đó, quá trình này liên quan đến một giai đoạn xử lý sau, sử dụng một mạng nơ-ron tích chập (CNN) được đào tạo với các dấu vết từ một cài đặt mạng giống nhau để thực hiện suy luận với độ chính xác lên đến 98% đối với video và 63% đối với các trang web.
Nói cách khác, do điểm nghẽn mạng ở phía nạn nhân, kẻ tấn công có thể suy luận lượng dữ liệu được truyền bằng cách đo thời gian tròn lại (RTT) của các gói tin. Các dấu vết RTT là duy nhất cho mỗi video và có thể được sử dụng để phân loại video được xem bởi nạn nhân.
Cuộc tấn công này được đặt tên là “SnailLoad” vì máy chủ tấn công truyền tệp với tốc độ chậm như con ốc để theo dõi độ trễ kết nối trong một khoảng thời gian dài.
“SnailLoad không yêu cầu JavaScript, không có hình thức thực thi mã trên hệ thống nạn nhân và không cần sự tương tác của người dùng mà chỉ cần một sự trao đổi liên tục các gói tin mạng,” các nhà nghiên cứu giải thích, thêm rằng nó “đo độ trễ đến hệ thống nạn nhân và suy luận hoạt động mạng trên hệ thống nạn nhân từ các biến động độ trễ.”
“Nguyên nhân gốc rễ của kênh bên là việc đệm trong một nút đường truyền, thường là nút cuối cùng trước modem hoặc bộ định tuyến của người dùng, liên quan đến một vấn đề chất lượng dịch vụ được gọi là bufferbloat.”
Việc công bố này diễn ra khi các học giả đã tiết lộ về một lỗ hổng bảo mật trong cách firmware bộ định tuyến xử lý ánh xạ Network Address Translation (NAT) có thể được kẻ tấn công kết nối cùng mạng Wi-Fi với nạn nhân khai thác để vượt qua sự ngẫu nhiên hóa được xây dựng sẵn trong Transmission Control Protocol (TCP).
“Hầu hết các bộ định tuyến, vì lý do hiệu suất, không kiểm tra nghiêm ngặt các số thứ tự của các gói tin TCP,” các nhà nghiên cứu cho biết. “Do đó, điều này đưa ra các lỗ hổng bảo mật nghiêm trọng mà kẻ tấn công có thể khai thác bằng cách tạo ra các gói tin đặt lại (RST) giả mạo để xóa các ánh xạ NAT trong bộ định tuyến một cách độc hại.”
Cuộc tấn công này đơn giản cho phép kẻ tấn công suy luận các cổng nguồn của các kết nối khách hàng khác cũng như đánh cắp số thứ tự và số xác nhận của kết nối TCP bình thường giữa khách hàng nạn nhân và máy chủ để thực hiện thao tác can thiệp kết nối TCP.
Các cuộc tấn công giành quyền kiểm soát TCP này sau đó có thể được vũ khí hóa để làm độc trang web HTTP của nạn nhân hoặc tiến hành các cuộc tấn công từ chối dịch vụ (DoS), theo các nhà nghiên cứu, những người cho biết các bản vá cho lỗ hổng đang được cộng đồng OpenWrt và các nhà cung cấp bộ định tuyến như 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti và Xiaomi chuẩn bị.