Um grupo de pesquisadores universitários criou um novo ataque de canal lateral chamado 'Freaky Leaky SMS', que depende do tempo de entrega de relatórios de SMS para deduzir a localização do destinatário.
Os relatórios de entrega de SMS são tratados pelo SMSC (centro de serviço de mensagens curtas) da rede móvel para informar quando uma mensagem foi entregue, aceita, falhou, não pode ser entregue, expirou ou foi rejeitada.
Embora haja atrasos de roteamento, propagação de nós de rede e processamento neste processo, a natureza fixa das redes móveis e suas características físicas específicas resultam em tempos previsíveis quando caminhos de sinal padrão são seguidos.
Os pesquisadores desenvolveram um algoritmo de aprendizado de máquina que analisa os dados de tempo nessas respostas de SMS para encontrar a localização do destinatário com uma precisão de até 96% para locais em diferentes países e até 86% para dois locais no mesmo país.
O atacante primeiro terá que coletar alguns dados de medição para fazer correlações concretas entre os relatórios de entrega de SMS e as localizações conhecidas de seu alvo.
Quanto mais dados precisos o atacante tiver sobre o paradeiro de seus alvos, mais precisos serão os resultados de classificação de localização nas previsões do modelo de aprendizado de máquina na fase de ataque.
Para coletar os dados, o atacante deve enviar vários SMS para o alvo, mascarando-os como mensagens de marketing que o destinatário ignorará ou desprezará como spam ou usando mensagens de SMS silenciosas.
SMS silenciosas são mensagens "tipo 0" sem conteúdo, que não produzem notificações na tela do alvo, mas sua recepção ainda é reconhecida pelo dispositivo no SMSC.
Em seus experimentos, os autores do artigo usaram ADB para enviar rajadas de 20 SMS silenciosas a cada hora por três dias para vários dispositivos de teste nos Estados Unidos, Emirados Árabes Unidos e sete países europeus, cobrindo dez operadoras e várias tecnologias e gerações de comunicação.
Em seguida, mediram o tempo dos relatórios de entrega de SMS em cada caso e agregaram os dados com as assinaturas de localização correspondentes para gerar um conjunto de dados de avaliação de ML abrangente.
O modelo de ML usou um total de 60 nós (10 de entrada, 10 de saída, 40 ocultos), e os dados de treinamento também incluíram localização de recebimento, condições de conectividade, tipo de rede, distâncias do receptor e outros.
O experimento se concentra em cenários de ataque de "mundo fechado", o que significa a classificação da localização do alvo em uma das localizações pré-determinadas.
Os acadêmicos descobriram que seu modelo alcançou alta precisão na distinção entre locais domésticos e no exterior (96%), suposições semelhantes na classificação de país (92%) e desempenho razoavelmente bom para locais na mesma região (62% -75%).
A precisão depende da localização, operadora e condições.
Por exemplo, na Alemanha, o sistema teve uma precisão média de 68% em 57 classificações diferentes, com o melhor desempenho sendo 92% em uma região alemã específica.
A Bélgica teve os melhores resultados, com uma média de 86% de suposições corretas e um máximo de 95% na região de melhor desempenho.
Quando três locais são considerados na Alemanha, a precisão de previsão do modelo cai para uma média de 54% e atinge 83% no caso de melhor desempenho, o que ainda é significativamente maior do que os 33% de suposições aleatórias.
Para a Grécia, o modelo entregou uma média notável de 79% de previsões corretas de localização para três locais (33% aleatório) e alcançou 82% no melhor caso.
Os pesquisadores deixaram os casos de "mundo aberto" em que o alvo visita locais desconhecidos para trabalhos futuros.
No entanto, o artigo ainda fornece uma breve avaliação para explicar como o modelo de previsão pode ser adaptado a esses cenários.
Em resumo, ataques de mundo aberto são viáveis com base no uso de saídas de probabilidade, detecção de anomalias e inclusão de marcos e outras localizações de interesse no conjunto de dados de treinamento de ML.
No entanto, a escala do ataque cresce exponencialmente, e o escopo está além do presente artigo.
Embora o ataque envolva um trabalho preparatório tedioso, não seja trivial de ser executado, não funcione bem em todas as circunstâncias e tenha várias limitações práticas, ainda constitui um risco potencial de privacidade para os usuários.
Um dos pesquisadores que assinaram o artigo, Evangelos Bitsikas, disse ao BleepingComputer que, para este experimento, eles se consideraram atacantes básicos, o que significa que foram restritos em termos de recursos, conhecimento de aprendizado de máquina e capacidade técnica.
Isso significa que atacantes sofisticados com mais recursos em suas mãos poderiam teoricamente alcançar mais impacto e até mesmo desfrutar de sucesso moderado em cenários de ataque de "mundo aberto".
Também vale ressaltar que o mesmo grupo de pesquisadores desenvolveu um ataque de tempo semelhante no ano passado e provou que é possível localizar aproximadamente usuários de mensageiros instantâneos populares como Signal, Threema e WhatsApp usando relatórios de recepção de mensagem.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...