Neue Lücke ermöglicht Ausspionieren der User ohne Schadsoftware

Einem IT-Team der TU Graz ist es zu Testzwecken gelungen, über Latenzschwankungen die Online-Aktivitäten von Internetnutzern nachverfolgen. Die Sicherheitslücke "SnailLoad" ermögliche das im Bezug auf Videos und Websites auf allen Arten von Endgeräten und Internetverbindungen.

Ob das Ansehen eines Videos oder der Aufruf einer Website - Laut Stefan Gast vom Grazer Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) hinterlassen alle Online-Inhalte einen spezifischen "Fingerabdruck": Sie werden für den effizienten Versand in kleine Datenpakete aufgeteilt, die nacheinander vom Server des Hosts an die User und Userinnen geschickt erden. 

➤ Mehr lesen: Warum sind Passkeys sicherer als jedes Passwort?

Jede Website hinterlässt einen Fingerabdruck

Das führt zu Geschwindigkeitsschwankungen der Internetverbindung. Dieses Muster aus Anzahl und Größe dieser Datenpakete ist für jeden Onlineinhalt einzigartig - eben wie ein menschlicher Fingerabdruck, wie Gast erklärte. Angreifer können das ausnützen, sobald sie einmal Kontakt zum Endgerät ihres Opfers herstellen können. Dabei könne "eine im Grunde harmlose kleine Datei" vom Server der Angreifenden heruntergeladen werden. 

Das Tückische dabei: Die Datei enthält keinen Schadcode und wird daher von der Sicherheitssoftware nicht erkannt. Somit lädt sie das System des Opfers ständig nach und liefere den Angreifenden dadurch laufend Informationen zu den Latenzzeiten der Internetverbindung und damit den Online-Aktivitäten des Opfers. 

Die Forschungsergebnisse hat das Team in einen sehenswerten YouTube-Clip verpackt, der eine Parodie des diesjährigen Siegerbeitrages des Eurovision Song Contest darstellt.

➤ Mehr lesen: Die 5 schlechtesten Passwort-Ratschläge

Trefferquote bei 98 Prozent 

Um die Internetaktivitäten über die Latenzschwankungen nachzuverfolgen, haben die Forschenden für ihre Tests zuerst die "Fingerabdrücke" einer begrenzten Zahl von Youtube-Videos und populärer Websites analysiert. Wenn diese von den Testpersonen genutzt wurden, konnten sie durch die jeweils entsprechenden Latenzschwankungen erkannt werden. 

Beim Ausspionieren der Testpersonen, die Videos schauten, erzielte das Team eine Trefferquote von bis zu 98 Prozent. "Die Erfolgsrate war umso besser, je größer das Datenvolumen der Videos und je langsamer die Internetverbindung der Opfer waren", betonte Daniel Gruss vom IAIK. Dementsprechend sank die Erfolgsquote beim Ausspähen des Besuchs einfacher Websites auf knapp über 60 Prozent. 

➤ Mehr lesen: Wie funktionieren Passkeys?

Lücke nur schwer zu schließen

"Wenn Angreifende ihre Machine-Learning-Modelle mit mehr Daten füttern als wir bei unserem Test, werden diese Werte aber sicher noch steigen", zeigte sich Daniel Gruss überzeugt. Für ihn ist es auch klar, dass der Angriff auch andersrum funktionieren kann: Wenn das Opfer im Internet aktiv ist, könnte ein Angreifer zuerst die Latenzschwankungen messen und anschließend nach Onlineinhalten mit dem passenden "Fingerabdruck" suchen. 

Wie man die Sicherheitslücke schließen könnte, ist noch nicht gelöst. "Die einzige Möglichkeit wäre, dass Provider die Internetverbindung ihrer Kundinnen und Kunden nach einem zufälligen Muster künstlich verlangsamen", so Gruss. Bei zeitkritischen Anwendungen wie Video-Konferenzen, Live-Streams oder Online-Computerspielen würde dies allerdings zu spürbaren Verzögerungen führen, wie Gruss erörterte. 

Das Team um Stefan Gast und Daniel Gruss hat eine Website zu "SnailLoad" eingerichtet. Ihr Paper zu der Sicherheitslücke werden sie auf den Fachkonferenzen Black Hat USA 2024 und USENIX Security Symposium präsentieren.