Nuevo ataque SnailLoad para espiar las actividades web de los usuarios

Iniciado por AXCESS, Junio 28, 2024, 10:27:18 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 28, 2024, 10:27:18 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un grupo de investigadores de seguridad de la Universidad Tecnológica de Graz ha demostrado un nuevo ataque de canal lateral conocido como SnailLoad que podría usarse para inferir de forma remota la actividad web de un usuario.

"SnailLoad explota un cuello de botella presente en todas las conexiones a Internet", dijeron los investigadores en un estudio publicado esta semana.

"Este cuello de botella influye en la latencia de los paquetes de red, lo que permite a un atacante inferir la actividad actual de la red en la conexión a Internet de otra persona. Un atacante puede utilizar esta información para inferir los sitios web que visita un usuario o los vídeos que ve un usuario".

Una característica definitoria de este enfoque es que elimina la necesidad de llevar a cabo un ataque de adversario en el medio (AitM) o estar en proximidad física a la conexión Wi-Fi para rastrear el tráfico de la red.

Específicamente, implica engañar a un objetivo para que cargue un activo inofensivo (por ejemplo, un archivo, una imagen o un anuncio) desde un servidor controlado por un actor de amenazas, que luego explota la latencia de la red de la víctima como un canal secundario para determinar las actividades en línea en el sitio.

Para realizar un ataque de huellas dactilares de este tipo y detectar qué vídeo o sitio web podría estar viendo o visitando un usuario, el atacante realiza una serie de mediciones de latencia de la conexión de red de la víctima a medida que el contenido se descarga del servidor mientras navega o visualiza.

Luego implica una fase de posprocesamiento que emplea una red neuronal convolucional (CNN) entrenada con rastros de una configuración de red idéntica para hacer la inferencia con una precisión de hasta el 98% para videos y el 63% para sitios web.

En otras palabras, debido al cuello de botella de la red por parte de la víctima, el adversario puede deducir la cantidad de datos transmitidos midiendo el tiempo de ida y vuelta del paquete (RTT). Los rastreos RTT son únicos por video y pueden usarse para clasificar el video visto por la víctima.

El ataque se llama así porque el servidor atacante transmite el archivo a paso de tortuga para monitorear la latencia de la conexión durante un período prolongado de tiempo.

"SnailLoad no requiere JavaScript, ninguna forma de ejecución de código en el sistema de la víctima, ni interacción del usuario, sino sólo un intercambio constante de paquetes de red", explicaron los investigadores, y agregaron que "mide la latencia del sistema de la víctima e infiere la actividad de la red en el sistema víctima de las variaciones de latencia".

"La causa principal del canal lateral es el almacenamiento en búfer en un nodo de ruta de transporte, generalmente el último nodo antes del módem o enrutador del usuario, relacionado con un problema de calidad de servicio llamado bufferbloat".

La divulgación se produce cuando los académicos han revelado una falla de seguridad en la forma en que el firmware del enrutador maneja el mapeo de traducción de direcciones de red (NAT) que podría ser explotado por un atacante conectado a la misma red Wi-Fi que la víctima para evitar la aleatorización incorporada en EL Protocolo de Control de Transmisión (TCP).

"La mayoría de los enrutadores, por razones de rendimiento, no inspeccionan rigurosamente los números de secuencia de los paquetes TCP", dijeron los investigadores. "En consecuencia, esto introduce serias vulnerabilidades de seguridad que los atacantes pueden explotar creando paquetes de reinicio falsificados (RST) para borrar maliciosamente las asignaciones NAT en el enrutador".

Básicamente, el ataque permite al actor de la amenaza inferir los puertos de origen de otras conexiones de clientes, así como robar el número de secuencia y el número de reconocimiento de la conexión TCP normal entre el cliente víctima y el servidor para realizar la manipulación de la conexión TCP.

Los ataques de secuestro dirigidos a TCP podrían luego usarse como arma para envenenar la página web HTTP de una víctima o realizar ataques de denegación de servicio (DoS), según los investigadores, quienes dijeron que la comunidad OpenWrt y los proveedores de enrutadores están preparando parches para la vulnerabilidad. como 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti y Xiaomi.

Más Info y demo:

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Fuente:
The Hacker News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario