Uma nova pesquisa da Universidade Tecnológica de Graz, na Áustria, revelou uma técnica de ataque preocupante chamada “SnailLoad”. O que torna esse ataque perigoso é sua capacidade de permitir que invasores remotos descubram quais sites e vídeos um usuário está acessando, sem precisar ter acesso direto ao tráfego de rede da vítima.
Anteriormente, pesquisadores já haviam demonstrado que era possível, através de ataques “man-in-the-middle” (MitM) ou invadindo a rede Wi-Fi da vítima, descobrir quais sites ela acessava e até mesmo as ações realizadas dentro de aplicativos.
O SnailLoad, no entanto, é bem mais sorrateiro. Ele não requer a proximidade física do invasor nem a execução de nenhum código malicioso no dispositivo da vítima, como Javascript.
Como funciona o SnailLoad?
Funciona assim: o atacante começa medindo a latência (tempo de resposta) para diferentes sites e vídeos do YouTube que a vítima possa acessar. Com isso, ele cria uma espécie de “impressão digital” de latência para cada alvo.
Na etapa seguinte, o invasor precisa fazer com que a vítima carregue dados de um servidor malicioso. Isso pode ser feito através de um download de arquivo, mas também por meio de qualquer conteúdo aparentemente legítimo, como imagens, fontes, folhas de estilo ou anúncios veiculados nesse servidor.
“A principal ameaça aqui é que qualquer servidor TCP pode obter sorrateiramente rastros de latência de qualquer cliente que se conecte a ele”, explica Stefan Gast, um dos pesquisadores envolvidos no projeto, ao SecurityWeek.
O nome “SnailLoad” (“carga lenta”, em tradução livre) é devido a um detalhe crucial do ataque: o servidor malicioso precisa carregar o conteúdo lentamente para que o invasor tenha tempo suficiente de monitorar a variação da latência da conexão.
Isso acontece porque, tipicamente, os servidores possuem internet veloz. Já a lentidão costuma acontecer quando o tráfego chega aos sistemas do provedor de internet (ISP) ou ao roteador da vítima, onde os pacotes de dados sofrem atrasos. Esses gargalos de banda são justamente o que o invasor aproveita para fazer suas medições de latência.
Enquanto a vítima baixa o conteúdo do servidor malicioso, o invasor compara os dados obtidos com as “impressões digitais” de latência criadas anteriormente. Dessa forma, ele consegue descobrir qual dos sites ou vídeos da sua lista a vítima está acessando em outra janela do navegador.
Para aumentar a precisão do ataque, os pesquisadores sugerem que o invasor utilize uma rede neural convolucional (CNN) para “treinar” o reconhecimento dos padrões de latência.
Felizmente, mitigar esse ataque não é simples, pois ele se baseia no próprio funcionamento da internet. Contudo, os pesquisadores acreditam que o SnailLoad ainda não esteja sendo explorado em grande escala.
Além disso, na forma atual, o ataque tem limitações. O invasor precisa ter uma lista prévia de sites que a vítima possa visitar, e a precisão cai se a vítima estiver realizando outras atividades online além de assistir ao vídeo ou acessar o site alvo.
Os testes conduzidos pela equipe da TU Graz envolveram 10 vídeos do YouTube e 100 sites populares. A precisão variou entre 37% e 98%, dependendo do tipo de recurso e da conexão de internet utilizada.
Os detalhes do SnailLoad serão apresentados por Stefan Gast e Daniel Gruss, renomado pesquisador de segurança da informação conhecido pelos ataques Meltdown e Spectre, na conferência Black Hat USA 2024, que acontece este ano.