SnailLoad: Ancaman Baru yang Mengintai di Balik Latensi Jaringan

Peneliti keamanan dari Universitas Teknologi Graz telah mengidentifikasi sebuah serangan saluran samping baru yang diberi nama SnailLoad. Serangan ini memungkinkan pelaku ancaman untuk menyimpulkan aktivitas web pengguna dari jarak jauh, dengan cara mengeksploitasi kemacetan dalam jaringan internet.

Dalam sebuah studi yang dirilis pekan ini, para peneliti menjelaskan bahwa SnailLoad memanfaatkan kemacetan yang terdapat pada semua koneksi internet. Kemacetan ini mempengaruhi latensi paket jaringan, memungkinkan penyerang untuk menafsirkan aktivitas jaringan pada koneksi internet korban. Dengan informasi tersebut, penyerang dapat menyimpulkan situs web apa yang sedang dikunjungi oleh pengguna atau video yang sedang mereka tonton.

Salah satu keunikan dari metode SnailLoad adalah bahwa ia tidak memerlukan serangan tipe adversary in the middle (AitM) atau berada di dekat jaringan Wi-Fi korban untuk mengendus lalu lintas jaringan. Sebaliknya, metode ini melibatkan upaya untuk mengelabui target agar memuat aset yang tampaknya tidak berbahaya, seperti berkas, gambar, atau iklan, dari server yang dikendalikan oleh pelaku ancaman. Dengan memanfaatkan latensi jaringan korban, serangan ini memungkinkan pelaku ancaman untuk menyimpulkan aktivitas daring yang dilakukan oleh korban.

Untuk melaksanakan serangan ini, penyerang melakukan serangkaian pengukuran latensi pada koneksi jaringan korban saat konten sedang diunduh dari server. Pengukuran ini memungkinkan penyerang untuk menentukan situs web mana yang dikunjungi atau video mana yang sedang ditonton oleh korban. Setelah itu, data yang dikumpulkan melalui pengukuran latensi tersebut diproses dengan menggunakan convolutional neural network (CNN) yang telah dilatih dengan jejak dari pengaturan jaringan serupa, untuk membuat inferensi dengan tingkat akurasi yang cukup tinggi, mencapai 98% untuk video dan 63% untuk situs web.

Inti dari serangan SnailLoad adalah kemampuan penyerang untuk menyimpulkan jumlah data yang dikirimkan melalui jaringan korban dengan cara mengukur waktu perjalanan pulang pergi (Round Trip Time/RTT) dari paket data. Setiap video memiliki jejak RTT yang unik, dan informasi ini bisa digunakan untuk mengklasifikasikan video apa yang sedang ditonton oleh korban. Serangan ini disebut "SnailLoad" karena server penyerang mengirimkan berkas dengan kecepatan yang sangat lambat, memungkinkan pengukuran latensi dalam jangka waktu yang lebih lama.

SnailLoad tidak memerlukan JavaScript atau bentuk eksekusi kode lainnya pada sistem korban, serta tidak memerlukan interaksi pengguna. Penyerang hanya perlu mengandalkan pertukaran paket jaringan yang konstan. Para peneliti menjelaskan bahwa SnailLoad bekerja dengan mengukur latensi pada sistem korban dan menyimpulkan aktivitas jaringan berdasarkan variasi latensi tersebut. Penyebab utama dari side-channel ini adalah buffering di node jalur transportasi, biasanya di node terakhir sebelum modem atau router pengguna, yang berkaitan dengan masalah kualitas layanan yang dikenal sebagai bufferbloat.

Di tengah perhatian terhadap SnailLoad, para peneliti juga mengungkapkan adanya kelemahan keamanan lainnya terkait cara firmware router menangani pemetaan Network Address Translation (NAT). Kelemahan ini dapat dimanfaatkan oleh penyerang yang terhubung ke jaringan Wi-Fi yang sama dengan korban untuk melewati pengacakan bawaan dalam Transmission Control Protocol (TCP).

Menurut para peneliti, sebagian besar router tidak memeriksa nomor urut paket TCP dengan ketat karena alasan kinerja, yang kemudian menimbulkan kerentanan serius. Kerentanan ini bisa dieksploitasi oleh penyerang dengan mengirimkan paket reset palsu untuk secara jahat menghapus pemetaan NAT di router. Dengan mengakses informasi ini, penyerang bisa menyimpulkan port sumber koneksi klien lain serta mencuri nomor urut dan nomor pengakuan dari koneksi TCP normal antara klien korban dan server.

Dengan memanfaatkan kelemahan ini, serangan pembajakan yang menargetkan TCP dapat digunakan untuk meracuni halaman web HTTP korban atau melancarkan serangan penolakan  layanan. Saat ini, komunitas OpenWrt serta beberapa vendor router seperti 360, Huawei, Linksys, Mercury, TP-Link, Ubiquiti, dan Xiaomi sedang mempersiapkan patch untuk menutup kerentanan tersebut.