Neue Angriffstechnik: Surfverhalten im Netz lässt sich per Latenzmessung ausspähen
Ein sechsköpfiges Forscherteam von der Technischen Universität Graz hat einen neuen Seitenkanalangriff vorgestellt, durch den sich ohne Einsatz einer Malware Rückschlüsse auf das Surfverhalten von Internetnutzern ziehen lassen. Laut einer Mitteilung der TU Graz(öffnet im neuen Fenster) basiert der Angriff auf einer Messung von Schwankungen in den Latenzzeiten von Internetverbindungen sowie einem Abgleich mit einem charakteristischen Fingerabdruck des jeweils abgerufenen Onlineinhaltes.
Damit der Angriff, der angeblich alle Arten von Endgeräten und Internetverbindungen betrifft, gelingt, muss das System der Zielperson lediglich im "Schneckentempo" eine harmlose Datei herunterladen. Entsprechend haben die Forscher ihre Angriffstechnik auch benannt: Sie heißt Snailload.
Ausgelöst werden kann der nötige Download durch den Besuch einer Webseite, über die beispielsweise ein Video, eine Bilddatei oder eine Werbeanzeige bereitgestellt wird. Auch andere Website-Komponenten wie Style Sheets lassen sich für den Angriff ausnutzen. Sichtbar sein muss die heruntergeladene Datei für den Besucher nicht.
Surfverhalten wirkt sich auf Latenzen aus
"Weil diese Datei keinerlei Schadcode enthält, wird sie von Sicherheitssoftware nicht erkannt" , heißt es in der Mitteilung der TU Graz. Durch den extrem langsam durchgeführten Download sei es einem Angreifer möglich, laufend Informationen zu den Latenzzeiten der Internetverbindung des Opfers zu sammeln.
Während die Zielperson im Internet surft, schwanken die vom Angreifer gemessenen Latenzen. Das passiert allerdings nicht willkürlich, sondern hängt nach Angaben der Forscher von den Inhalten ab, die das Opfer aufruft. Jeder Onlineinhalt hat demnach einen eigenen Fingerabdruck, der sich einem Muster von Latenzschwankungen zuordnen lässt und etwa durch Faktoren wie die Anzahl und Größe der übermittelten Datenpakete bestimmt wird.
Hohe Trefferquote beim Videostreaming
Die Forscher testeten ihren Angriff beispielsweise anhand von zehn Youtube-Videos. Dabei konnte das Forscherteam durch die Latenzmessung mit einer Genauigkeit von bis zu 98 Prozent bestimmen, welches der Testvideos eine Zielperson gerade ansah. Wie aus einem 18-seitigen Paper zu Snailload (PDF)(öffnet im neuen Fenster) hervorgeht, wurden die Tests über zehn verschiedene Internetverbindungen durchgeführt.
"Die Erfolgsrate war umso besser, je größer das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer waren" , erklärt Daniel Gruss, einer der beteiligten Forscher. Beim Besuch einfacher Webseiten ohne Videoinhalt war die Erfolgsquote mit rund 63 Prozent entsprechend deutlich geringer. Über alle Messungen hinweg lag die Trefferquote stets bei zwischen 37 und 98 Prozent.
Ursache wohl schwer zu beseitigen
Wie die Forscher auf einer Informationsseite zu Snailload(öffnet im neuen Fenster) erklären, liegt die Hauptursache dafür, dass der Angriff funktioniert, in den Bandbreitenunterschieden zwischen der schnellen Backbone-Infrastruktur und dem jeweiligen Internetanschluss des Zielnutzers. Dass die Angriffstechnik aktiv ausgenutzt werde, sei derzeit unwahrscheinlich – die Ursache zu beseitigen, sei derweil schwierig und setze weitere Untersuchungen voraus.
"Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kunden nach einem zufälligen Muster künstlich verlangsamen" , erklärt Gruss. Das ginge allerdings für Endbenutzer mit entsprechenden Nachteilen einher. Gerade bei zeitkritischen Anwendungen wie Video-Konferenzen, Livestreams oder Onlinevideospielen könnte ein solcher Eingriff spürbare Verzögerungen zur Folge haben.