Neue Sicherheitslücke erlaubt Überwachung besuchter Websites und angesehener Videos

Die Sicherheitslücke „SnailLoad“ basiert auf dem Abgleich der Latenzzeiten von Internetverbindungen mit dem Fingerabdruck der Online-Inhalte.
(c) IAIK - TU Graz

Onlineaktivitäten lassen sich allein durch Latenzschwankungen der Internetverbindung detailliert ausspähen, haben Forschende der TU Graz entdeckt. Der Angriff funktioniert ohne Schadcode oder Zugriff auf den Datenverkehr.

Das Team vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz, das die Sicherheitslücke entdeckt hat (v.l.): Fabian Rauscher, Jonas Juffinger, Stefan Gast, Simone Franza, Daniel Gruss, Roland Czerny.
Das Team vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz, das die Sicherheitslücke entdeckt hat (v.l.): Fabian Rauscher, Jonas Juffinger, Stefan Gast, Simone Franza, Daniel Gruss, Roland Czerny. (c) IAIK – TU Graz

Internetnutzer*innen hinterlassen viele Spuren auf Websites und bei Onlinediensten. Dagegen gibt es Maßnahmen wie Firewalls, VPN-Verbindungen oder Browser-Privatmodi, um ein gewisses Maß an Datenschutz zu gewährleisten. Eine neu entdeckte Sicherheitslücke macht es möglich, sämtliche dieser Schutzmaßnahmen zu umgehen: Informatiker vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der TU Graz konnten die Onlineaktivitäten von User*innen allein durch Geschwindigkeitsschwankungen ihrer Internetverbindung im Detail mitverfolgen. Zum Ausnutzen dieser „SnailLoad“ genannten Sicherheitslücke ist kein Schadcode notwendig, und auch der Datenverkehr muss dazu nicht abgefangen werden. Betroffen sind sämtliche Arten von Endgeräten und Internetverbindungen.

Angreifende verfolgen Latenzschwankungen der Internetverbindung über Dateitransfer

Das Opfer muss lediglich ein einziges Mal direkten Kontakt zum Angreifenden haben – etwa beim Besuch einer Website oder beim Schauen eines Werbevideos – und lädt dabei unbemerkt eine im Grunde harmlose Datei herunter. Weil diese Datei keinerlei Schadcode enthält, wird sie von Sicherheitssoftware nicht erkannt. Das Laden dieser Datei verläuft extrem langsam und liefert dabei dem Angreifenden laufend Informationen zu den Latenzzeiten der Internetverbindung des Opfers. Diese Informationen dienen in weiteren Schritten zur Rekonstruktion von dessen Online-Aktivität.

„SnailLoad“ kombiniert Latenzzeiten mit Fingerabdruck von Online-Inhalten

„Wenn das Opfer nun eine Website aufruft, ein Onlinevideo schaut oder mit jemandem per Video spricht, schwankt die Latenz der Internetverbindung nach einem ganz bestimmten Muster, das abhängig ist von den genutzten Inhalten“, sagt Stefan Gast vom IAIK. Denn alle Online-Inhalte haben einen „Fingerabdruck“: Für den effizienten Versand sind sie in kleine Datenpakete aufgeteilt, die nacheinander vom Server des Hosts an die User*innen geschickt werden. Das Muster aus Anzahl und Größe dieser Datenpakete ist für jeden Onlineinhalt einzigartig – wie ein menschlicher Fingerabdruck.

Die Forschenden hatten für Testzwecke vorab die Fingerabdrücke einer begrenzten Zahl von YouTube-Videos und populärer Websites erhoben. Nutzten die Testpersonen diese Videos und Websites, konnten die Forschenden dies durch die korrespondierenden Latenzschwankungen erkennen. „Der Angriff würde aber auch andersherum funktionieren“, sagt Daniel Gruss vom IAIK: „Angreifende messen zuerst das Muster der Latenzschwankungen, wenn ein Opfer im Internet aktiv ist, und suchen anschließend nach Online-Inhalten mit passendem Fingerabdruck.“

Langsame Internetverbindung macht es Angreifern leichter

Beim Ausspionieren von Testpersonen, die Videos schauten, erreichten die Forschenden eine Trefferquote von bis zu 98 Prozent. „Die Erfolgsrate war umso besser, je größer das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer waren“, sagt Daniel Gruss. Daher sank die Erfolgsquote beim Ausspähen des Besuchs einfacher Websites auf rund 63 Prozent. „Wenn Angreifende ihre Machine-Learning-Modelle mit mehr Daten füttern als wir bei unserem Test, werden diese Werte aber sicher noch steigen“, sagt Daniel Gruss.

Sicherheitslücke kaum zu schließen

„Die Sicherheitslücke zu schließen, ist schwierig. Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kund*innen nach einem zufälligen Muster künstlich verlangsamen“, sagt Daniel Gruss. Bei zeitkritischen Anwendungen wie Video-Konferenzen, Live-Streams oder Online-Computerspielen würde dies allerdings zu spürbaren Verzögerungen führen.

Das Team um Stefan Gast und Daniel Gruß hat eine Website zu SnailLoad eingerichtet: https://www.snailload.com/

Das wissenschaftliche Paper zu der Sicherheitslücke werden die Forschenden auf den Fachkonferenzen Black Hat USA 2024 und USENIX Security Symposium präsentieren.

Wissenschaftliche Ansprechpartner:

Stefan GAST
B.Sc. M.Sc.
TU Graz| Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie
Tel.: +43 316 873 5583
stefan.gast@iaik.tugraz.at

Daniel GRUSS
Assoc.Prof. Dipl.-Ing. Dr.techn. BSc
TU Graz| Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie
Tel.: +43 316 873 5544
daniel.gruss@iaik.tugraz.at

Weitere Informationen:

https://www.tugraz.at/forschung/fields-of-expertise/information-communication-co… Diese Forschung ist im Field of Expertise „Information, Communication & Computing“ verankert, einem von fünf strategischen Schwerpunktfeldern der TU Graz.

https://www.tugraz.at/tu-graz/services/news-stories/medienservice/einzelansicht/article/neue-sicherheitsluecke-erlaubt-ueberwachung-besuchter-websites-und-angesehener-videos

Media Contact

Philipp Jarke Kommunikation und Marketing
Technische Universität Graz

Alle Nachrichten aus der Kategorie: Informationstechnologie

Neuerungen und Entwicklungen auf den Gebieten der Informations- und Datenverarbeitung sowie der dafür benötigten Hardware finden Sie hier zusammengefasst.

Unter anderem erhalten Sie Informationen aus den Teilbereichen: IT-Dienstleistungen, IT-Architektur, IT-Management und Telekommunikation.

Zurück zur Startseite

Kommentare (0)

Schreiben Sie einen Kommentar

Neueste Beiträge

Mit Digitalisierung CO2 einsparen

»SiPro« reduziert den Energieverbrauch in der Warmmassivumformung. Erst durch Umformschritte wie Freiformschmieden, werkzeuggebundenes Schmieden (Gesenkschmieden) oder Walzen erhalten zahlreiche Metallteile ihre gewünschte Form. Der Weg zum fertigen Bauteil erfordert oft…

HIV-Behandlung bei Kindern und Jugendlichen verbessern – aber richtig!

Weltweit leben etwa 2,6 Millionen Kinder und Jugendliche mit HIV, die grosse Mehrheit von ihnen in Afrika. Bei ihnen versagen Therapien deutlich häufiger als bei Erwachsenen. Fachleute gingen lange davon…

Zentraler Treiber für Entwicklung von Epithelkrebs identifiziert

Ein Signalweg namens TNF-α steuert die Umwandlung von Epithelzellen, der obersten Zellschicht von Haut und Schleimhäuten, in aggressive Tumorzellen. Schreitet eine Krebserkrankung fort, aktivieren die Zellen ihr eigenes TNF-α-Programm und…

Partner & Förderer