Internetnutzer*innen hinterlassen viele Spuren auf Websites und bei Onlinediensten. Dagegen gibt es Maßnahmen wie Firewalls, VPN-Verbindungen oder Browser-Privatmodi, um ein gewisses Maß an Datenschutz zu gewährleisten. Eine neu entdeckte Sicherheitslücke macht es möglich, sämtliche dieser Schutzmaßnahmen zu umgehen: Informatiker vom Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der TU Graz konnten die Onlineaktivitäten von User*innen allein durch Geschwindigkeitsschwankungen ihrer Internetverbindung im Detail mitverfolgen. Zum Ausnutzen dieser „SnailLoad“ genannten Sicherheitslücke ist kein Schadcode notwendig, und auch der Datenverkehr muss dazu nicht abgefangen werden. Betroffen sind sämtliche Arten von Endgeräten und Internetverbindungen.
Angreifende verfolgen Latenzschwankungen der Internetverbindung über Dateitransfer
Das Opfer muss lediglich ein einziges Mal direkten Kontakt zum Angreifenden haben - etwa beim Besuch einer Website oder beim Schauen eines Werbevideos - und lädt dabei unbemerkt eine im Grunde harmlose Datei herunter. Weil diese Datei keinerlei Schadcode enthält, wird sie von Sicherheitssoftware nicht erkannt. Das Laden dieser Datei verläuft extrem langsam und liefert dabei dem Angreifenden laufend Informationen zu den Latenzzeiten der Internetverbindung des Opfers. Diese Informationen dienen in weiteren Schritten zur Rekonstruktion von dessen Online-Aktivität.
„SnailLoad“ kombiniert Latenzzeiten mit Fingerabdruck von Online-Inhalten
„Wenn das Opfer nun eine Website aufruft, ein Onlinevideo schaut oder mit jemandem per Video spricht, schwankt die Latenz der Internetverbindung nach einem ganz bestimmten Muster, das abhängig ist von den genutzten Inhalten“, sagt Stefan Gast vom IAIK. Denn alle Online-Inhalte haben einen „Fingerabdruck“: Für den effizienten Versand sind sie in kleine Datenpakete aufgeteilt, die nacheinander vom Server des Hosts an die User*innen geschickt werden. Das Muster aus Anzahl und Größe dieser Datenpakete ist für jeden Online-Inhalt einzigartig – wie ein menschlicher Fingerabdruck.
Die Forschenden hatten für Testzwecke vorab die Fingerabdrücke einer begrenzten Zahl von YouTube-Videos und populärer Websites erhoben. Nutzten die Testpersonen diese Videos und Websites, konnten die Forschenden dies durch die korrespondierenden Latenzschwankungen erkennen. „Der Angriff würde aber auch andersherum funktionieren“, sagt Daniel Gruss vom IAIK: „Angreifende messen zuerst das Muster der Latenzschwankungen, wenn ein Opfer im Internet aktiv ist, und suchen anschließend nach Online-Inhalten mit passendem Fingerabdruck.“
Langsame Internetverbindung macht es Angreifern leichter
Beim Ausspionieren von Testpersonen, die Videos schauten, erreichten die Forschenden eine Trefferquote von bis zu 98 Prozent. „Die Erfolgsrate war umso besser, je größer das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer waren“, sagt Daniel Gruss. Daher sank die Erfolgsquote beim Ausspähen des Besuchs einfacher Websites auf rund 63 Prozent. „Wenn Angreifende ihre Machine-Learning-Modelle mit mehr Daten füttern als wir bei unserem Test, werden diese Werte aber sicher noch steigen“, sagt Daniel Gruss.
Sicherheitslücke kaum zu schließen
„Die Sicherheitslücke zu schließen, ist schwierig. Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kund*innen nach einem zufälligen Muster künstlich verlangsamen“, sagt Daniel Gruss. Bei zeitkritischen Anwendungen wie Video-Konferenzen, Live-Streams oder Online-Computerspielen würde dies allerdings zu spürbaren Verzögerungen führen.
Das Team um Stefan Gast und Daniel Gruß hat eine Website zu SnailLoad eingerichtet. Das wissenschaftliche Paper zu der Sicherheitslücke werden die Forschenden auf den Fachkonferenzen Black Hat USA 2024 und USENIX Security Symposium präsentieren.
Diese Forschung ist im Field of Expertise „Information, Communication & Computing“ verankert, einem von fünf strategischen Schwerpunktfeldern der TU Graz.