يمكن مراقبة الأنشطة عبر الإنترنت بالتفصيل بمجرد تحليل تقلبات زمن الاستجابة في الاتصال بالإنترنت، اكتشف باحثون في جامعة غراتس للتكنولوجيا. يعمل الهجوم دون الحاجة إلى رمز خبيث أو الوصول إلى حركة مرور البيانات.
يترك مستخدمو الإنترنت العديد من الآثار على مواقع الويب والخدمات عبر الإنترنت. توجد تدابير مثل جدران الحماية واتصالات VPN وأوضاع خصوصية المتصفح لضمان مستوى معين من حماية البيانات. ومع ذلك، تسمح ثغرة أمنية مكتشفة حديثًا بتجاوز كل هذه الإجراءات الوقائية: تمكن علماء الكمبيوتر من معهد معالجة المعلومات التطبيقية وتكنولوجيا الاتصالات (IAIK) في جامعة غراتس للتكنولوجيا (TU Graz) من تتبع الأنشطة عبر الإنترنت للمستخدمين بالتفصيل بمجرد مراقبة التقلبات في سرعة اتصالهم بالإنترنت. لا يلزم وجود رمز خبيث لاستغلال هذه الثغرة الأمنية، المعروفة باسم "SnailLoad"، ولا يلزم اعتراض حركة مرور البيانات. تتأثر جميع أنواع الأجهزة الطرفية واتصالات الإنترنت.
يتتبع المهاجمون تقلبات زمن الاستجابة في الاتصال بالإنترنت عبر نقل الملفات
يحتاج الضحية فقط إلى اتصال مباشر واحد بالمهاجم - على سبيل المثال عند زيارة موقع ويب أو مشاهدة فيديو ترويجي - لتنزيل ملف غير ضار بشكل أساسي دون أن يلاحظ. نظرًا لأن هذا الملف لا يحتوي على أي رمز خبيث، فإن برامج الأمان لا تتعرف عليه. يكون نقل هذا الملف بطيئًا للغاية، مما يوفر للمهاجم معلومات مستمرة حول تباين زمن الاستجابة لاتصال الضحية بالإنترنت. في خطوات لاحقة، تُستخدم هذه المعلومات لإعادة بناء نشاط الضحية عبر الإنترنت.
يجمع "SnailLoad" بيانات زمن الاستجابة مع بصمات المحتوى عبر الإنترنت
"عندما يصل الضحية إلى موقع ويب، أو يشاهد مقطع فيديو عبر الإنترنت، أو يتحدث إلى شخص ما عبر الفيديو، فإن زمن الاستجابة لاتصال الإنترنت يتقلب بنمط معين يعتمد على المحتوى المحدد المستخدم،" يقول ستيفان غاست من IAIK. هذا لأن كل محتوى عبر الإنترنت له "بصمة" فريدة: لنقل فعال، يتم تقسيم المحتوى عبر الإنترنت إلى حزم بيانات صغيرة يتم إرسالها واحدة تلو الأخرى من الخادم المضيف إلى المستخدم. نمط عدد وحجم حزم البيانات هذه فريد لكل قطعة من المحتوى عبر الإنترنت - مثل بصمة الإصبع البشرية.
قام الباحثون بجمع بصمات عدد محدود من مقاطع فيديو YouTube والمواقع الشهيرة مسبقًا لأغراض الاختبار. عندما استخدم الأشخاص الذين تم اختبارهم مقاطع الفيديو والمواقع هذه، تمكن الباحثون من التعرف عليها من خلال تقلبات زمن الاستجابة المقابلة. يقول دانيال غروس من IAIK: "ومع ذلك، فإن الهجوم سيعمل أيضًا في الاتجاه المعاكس": "يقيس المهاجمون أولاً نمط تقلبات زمن الاستجابة عندما يكون الضحية متصلاً بالإنترنت ثم يبحثون عن محتوى عبر الإنترنت ببصمة مطابقة."
اتصالات الإنترنت البطيئة تجعل الأمر أسهل للمهاجمين.
عند التجسس على المشاركين في الاختبار الذين كانوا يشاهدون مقاطع الفيديو، حقق الباحثون معدل نجاح يصل إلى 98 بالمائة. يقول دانيال غروس: "كلما زاد حجم بيانات مقاطع الفيديو وكان اتصال الإنترنت للضحايا أبطأ، كان معدل النجاح أفضل". ونتيجة لذلك، انخفض معدل النجاح في التجسس على المواقع الأساسية إلى حوالي 63 بالمائة. يقول دانيال غروس: "ومع ذلك، إذا قام المهاجمون بتزويد نماذج التعلم الآلي الخاصة بهم ببيانات أكثر مما فعلنا في اختبارنا، فمن المؤكد أن هذه القيم ستزداد".
ثغرة يصعب إغلاقها تقريبًا
يقول دانيال غروس: "إغلاق فجوة الأمان هذه أمر صعب. الخيار الوحيد سيكون للموفرين إبطاء اتصالات الإنترنت لعملائهم بشكل مصطنع بنمط عشوائي". ومع ذلك، سيؤدي ذلك إلى تأخيرات ملحوظة للتطبيقات الحساسة للوقت مثل مؤتمرات الفيديو أو البث المباشر أو ألعاب الكمبيوتر عبر الإنترنت.
أنشأ الفريق بقيادة ستيفان غاست ودانيال غروس موقعًا إلكترونيًا يصف SnailLoad بالتفصيل: https://www.snailload.com/
سيقدمون الورقة العلمية حول الثغرة في مؤتمري Black Hat USA 2024 و USENIX Security Symposium.

