Ataque "SnailLoad" espiona usuários
28 de Junho de 2024

Um grupo de pesquisadores de segurança da Universidade de Tecnologia de Graz demonstrou um novo ataque de canal lateral conhecido como SnailLoad, que pode ser usado para inferir remotamente a atividade na web de um usuário.

"SnailLoad explora um gargalo presente em todas as conexões de Internet," disseram os pesquisadores em um estudo lançado esta semana.

Esse gargalo influencia a latência dos pacotes de rede, permitindo que um atacante deduza a atual atividade de rede na conexão de Internet de outra pessoa.

Um atacante pode usar essas informações para inferir os sites que um usuário visita ou os vídeos que assiste. Uma característica definidora da abordagem é que ela dispensa a necessidade de realizar um ataque de adversary-in-the-middle (AitM) ou estar fisicamente próximo à conexão Wi-Fi para sniffar o tráfego de rede.

Especificamente, envolve enganar um alvo para carregar um ativo inofensivo (por exemplo, um arquivo, uma imagem ou um anúncio) de um servidor controlado pelo ator de ameaça, que então explora a latência de rede da vítima como um canal lateral para determinar atividades online no sistema da vítima.

Para realizar tal ataque de fingerprinting e deduzir que vídeo ou website um usuário pode estar assistindo ou visitando, o atacante realiza uma série de medições de latência da conexão de rede da vítima enquanto o conteúdo está sendo baixado do servidor enquanto eles estão navegando ou assistindo.

Em seguida, envolve uma fase de pós-processamento que emprega uma convolutional neural network (CNN) treinada com traces de uma configuração de rede idêntica para fazer a inferência com uma precisão de até 98% para vídeos e 63% para websites.

Em outras palavras, devido ao gargalo de rede do lado da vítima, o adversário pode deduzir a quantidade de dados transmitidos medindo o packet round trip time (RTT).

Os traces de RTT são únicos por vídeo e podem ser usados para classificar o vídeo assistido pela vítima.

O ataque é assim nomeado porque o servidor atacante transmite o arquivo a passo de lesma para monitorar a latência da conexão por um período prolongado de tempo.

"SnailLoad não requer JavaScript, nenhum tipo de execução de código no sistema da vítima e nenhuma interação do usuário, apenas uma troca constante de pacotes de rede," explicaram os pesquisadores, acrescentando que "mede a latência até o sistema da vítima e deduz a atividade de rede no sistema da vítima a partir das variações de latência."

A causa raiz do canal lateral é o buffering em um nó de caminho de transporte, tipicamente o último nó antes do modem ou router do usuário, relacionado a um problema de qualidade de serviço chamado bufferbloat.

A divulgação ocorre enquanto acadêmicos revelaram uma falha de segurança na maneira como o firmware do router lida com o mapeamento de Network Address Translation (NAT) que poderia ser explorada por um atacante conectado à mesma rede Wi-Fi que a vítima para contornar a randomização incorporada no Transmission Control Protocol (TCP).

"A maioria dos routers, por razões de desempenho, não inspeciona rigorosamente os números de sequência dos pacotes TCP," disseram os pesquisadores.

Consequentemente, isso introduz sérias vulnerabilidades de segurança que os atacantes podem explorar criando pacotes de reset (RST) forjados para limpar maliciosamente mapeamentos NAT no router.

O ataque basicamente permite que o ator de ameaça deduza as portas de origem de outras conexões de cliente assim como roube o número de sequência e o número de confirmação da conexão TCP normal entre o cliente vítima e o servidor para realizar a manipulação da conexão TCP.

Os ataques de hijacking visando o TCP poderiam então ser armados para envenenar uma página web HTTP da vítima ou realizar ataques de denial-of-service (DoS), segundo os pesquisadores, que disseram que patches para a vulnerabilidade estão sendo preparados pela comunidade OpenWrt bem como por fabricantes de routers como 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti e Xiaomi.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...