Dein YouTube-Verlauf enthüllt: Researcher erkennt inhärente Sicherheitslücken beim Video-Streaming

[ware_item id=33][/ware_item]

YouTube-Verkehrssicherheitslücke aufgedeckt


Als der Cybersicherheitsexperte Ran Dubin nachforschte, wie Internetdienstanbieter (Internet Service Provider, ISPs) ihre Dienste optimieren könnten, um die Videoerlebnisse der Benutzer zu verbessern, stellte er fest, dass ISPs nicht nur die Qualität der Wiedergabe ermitteln konnten - sie konnten, wenn sie wollten, die genaue Qualität bestimmen Videotitel, die ihre Benutzer angesehen haben.

Dubins Methode unterscheidet sich insofern von den üblichen Überwachungsansätzen analysiert nur Verkehrsmuster, Während herkömmliche Überwachungstechniken unverschlüsselte Daten untersuchen, Fehler im Protokoll ausnutzen oder einzelne Pakete analysieren.

Obwohl YouTube zum Schutz Ihrer Daten Verschlüsselung verwendet, erklärte Dubin gegenüber ExpressVPN, kann jeder, der Ihr Netzwerk überwacht, genau feststellen, was Sie gerade ansehen. Sie können sich jedoch auf verschiedene Weise schützen.

Zuordnen von Streams zu Mustern

Dubin erzählte ExpressVPN,

„Ich habe herausgefunden, dass alle Streams tatsächlich ein sehr ausgeprägtes Muster haben. Und diese Muster können identifiziert werden. “

Dein Browser macht zwei Dinge, wenn du YouTube zum Streamen von Videos verwendest:

  1. Es öffnet sich ein verschlüsselter Kanal mit YouTube, über den alle Daten übertragen werden.
  2. Abhängig von der Geschwindigkeit Ihrer Netzwerkverbindung werden kleine Videoabschnitte in einer bestimmten Qualität angefordert und empfangen.

Trotz der Verschlüsselung generieren die Codierungsmechanismen genügend Daten, damit anspruchsvolle passive Beobachter zusammenfügen können, was Sie gerade gesehen haben. In den falschen Händen könnten diese Daten leicht verkauft oder anderweitig verwendet werden, um praktisch jeden anzuvisieren und zu diskriminieren.

Jedes Video hat eine eindeutige, nachvollziehbare Signatur

Dubins Untersuchung ergab, dass jeder, der die Verbindung beobachtet, während Ihr Video geladen wird, wie beispielsweise Ihr ISP, ein Hacker, der auf Ihr WLAN-Netzwerk zugreift, oder eine Regierungsbehörde, den unterschiedlichen Mustern des verschlüsselten Datenflusses im Laufe der Zeit folgen kann.

Dieses Muster existiert, weil die Videos in "Blöcken" heruntergeladen werden, was zu Spitzen und Stille im Verkehrsfluss führt. Durch die Analyse der Anzahl der Bits pro Peak, die beispielsweise durch die Anzahl der Farben oder schnellen Bewegungen in diesem Videobaustein bestimmt wird, wird eine Signatur für das Video erstellt, mit der es eindeutig identifiziert werden kann.

Dia-Auszug aus Dubins Vortrag auf der Black Hat Europe 2016Dia-Auszug aus Dubins Vortrag auf der Black Hat Europe 2016. Mit freundlicher Genehmigung von R. Dubin.
Ran Dubin, Amit Dvir, Ofir Pelé und Ofer Hadar. „Ich weiß, was Sie in letzter Minute gesehen haben - Der Chrome-Browser-Fall.“ Vortrag, Black Hat Europe 2016, London, 3. November 2016.

Um jedes Muster mit einem Video abzugleichen, müsste der passive Beobachter eine vorkompilierte Liste aller Videos haben, die er überwachen möchte. Es ist zwar schwierig, eine Liste aller auf YouTube verfügbaren Videos zu erstellen (vorausgesetzt, jede Minute werden etwa 300 Stunden neuer Inhalte hochgeladen), es ist jedoch möglich, eine solche Liste für beliebte Videos oder interessante Videos zu erstellen.

Möglicher Missbrauch der Privatsphäre

Obwohl es keine leichte Aufgabe ist, festzustellen, welches Video Sie gesehen haben, kann diese passive Analyse sehr problematisch werden, wenn Gruppen mit den falschen Motiven feststellen können, ob Sie ein Video in einer dieser vorkompilierten Listen angesehen haben:

  • Videos zu einem bestimmten Politiker
  • Videos zu einer bestimmten Widerstandsbewegung
  • Informationsvideos zu bestimmten Gesundheitszuständen
  • Videos zum Thema Raucherentwöhnung oder andere Sucht

Es besteht die Möglichkeit, dass jemand von seiner Regierung, seinem ISP oder seiner Krankenkasse gezielt angesprochen, kohortiert oder diskriminiert wird, indem er einfach die Videos betrachtet.

So funktioniert die passive Analyse des YouTube-Netzwerkverkehrs

Stellen Sie sich vor, ein Beobachter steht vor Ihrem Haus und beobachtet alle Pakete, die an Ihre Tür geliefert werden.

Obwohl jede Packung eine andere Größe, Form und ein anderes Gewicht hat, kann ein Beobachter sie einem Katalog bekannter Packungen zuordnen und daraus schließen, was Sie bestellt haben, auch wenn sie Ihre Packungen nie geöffnet haben.

Wenn Sie YouTube verwenden, hat jedes Paket nicht nur eine eindeutige Signatur, sondern auch die IP-Adresse des Absenders (YouTube) und des Empfängers (Sie). Mit diesen IP-Adressen kann ein Beobachter bestimmen, ob ein Paket mit einem YouTube-Video verknüpft ist - zusammen mit Ihrer Identität.

Dieser Beobachter kann ein Hacker sein, der den Router in Ihrem lokalen Café, den Administrator Ihres WLAN-Netzwerks auf dem Campus oder Ihren Internetdienstanbieter kontrolliert.

Dubin: "Vielleicht kann ich sogar erraten, welches Video Sie nach etwa 30 bis 40 Sekunden Wiedergabezeit ansehen."

Dubins Recherche gilt auch dann, wenn Sie nur einen Teil eines Videos ansehen - und möglicherweise auch in Echtzeit. „Ich habe eine andere Demo, die zeigt, dass ich einen Teil des Videos auch in Echtzeit vorhersagen kann. Die Genauigkeit dieses Algorithmus ist jedoch noch nicht endgültig festgelegt. "Er schätzt, dass es etwa 30 bis 40 Sekunden dauert, um zu bestimmen, welches Video Sie ansehen.

Sollten wir uns Sorgen um die Überwachung der Videomasse machen??

Ja und nein. An diesem Punkt ist eine Überwachung zwar möglich, aber teuer, da der Beobachter eine Liste aller zu identifizierenden YouTube-Videos erstellen und diese nacheinander analysieren muss. Dies mag lästig klingen, muss jedoch für jedes interessierende Video nur einmal durchgeführt werden.

Variable Netzwerkbedingungen können zusätzliche Herausforderungen darstellen, da Paketverlust und Netzwerkverzögerungen Unsicherheit schaffen. Dubin zeigte jedoch, dass er unter diesen Bedingungen immer noch eine sehr hohe Vorhersageerfolgsrate erzielen kann.

Da die zuvor aufgezeichneten Muster nur wahrscheinlich mit den beobachteten übereinstimmen, würde ein sehr großer Datensatz wahrscheinlich einige falsche Übereinstimmungen enthalten. Dubin erklärte, dass, obwohl seine Studie bei einer Stichprobengröße von 2000 Videos keine falsch positiven Ergebnisse ergab, eine drastische Erhöhung der Anzahl der Titel diese Zahl erhöhen könnte, da „die Bit-pro-Peak-Funktion möglicherweise nicht zu 100% eindeutig ist“.

Diese Analyse könnte theoretisch auch für andere Dienste und Datentypen gelten (z. B. Netflix, Facebook oder Spotify), Dubin wird jedoch nicht darüber spekulieren, welche anderen Dienste anfällig sein könnten. Aber er sagt, er plane vielleicht seine nächsten Forschungsprojekte mit solchen Diensten.

So schützen Sie Ihre YouTube-Aktivitäten vor dem Nachverfolgen

Während YouTube theoretisch dazu beitragen könnte, die Videos zu verschleiern, gibt Ran Dubin Tipps, wie Sie sich heute schützen können:

"Sie können VPN [oder] Sie können Tor-Netzwerke verwenden, um die Identifizierung viel schwieriger zu machen."

Durch die Verwendung eines Netzwerks wie Tor oder eines VPN wird das unmittelbare Tool zur Identifizierung entfernt: Ihre IP-Adresse. Durch die Verwendung eines VPN kann ein Beobachter zwar weiterhin sehen, welches Video vom VPN-Server angesehen wurde, dieser Datenverkehr wird jedoch mit dem Datenverkehr von Hunderten anderer Benutzer gemischt, wodurch verhindert wird, dass festgestellt werden kann, wer von wo aus zugesehen hat.

Zurück zur Paket-Metapher: Ein VPN oder Tor erstellt im Wesentlichen ein Umladelager, an das alle Pakete adressiert und gesendet werden. Im Inneren werden sie angesammelt, neu verpackt und gelegentlich zur weiteren Verschleierung gestopft. Da die umgepackten Waren zu Ihnen nach Hause geschickt werden, kann ein Beobachter nicht mehr erraten, was sich darin befindet oder wer die Pakete gesendet hat.

Ihr ISP oder ein anderer Beobachter zwischen Ihnen und Ihrem VPN-Anbieter würde noch weniger Informationen sehen. Aufgrund von Verschleierungsmaßnahmen, die von modernen VPN-Apps angewendet werden, stimmen Ihre Datenverkehrsmuster nicht mehr mit denen überein, die sie möglicherweise zuvor aufgezeichnet haben, wodurch die von Ihnen gesammelten Daten bedeutungslos werden.

Passen Sie auf Ihre Metadaten auf!

Auch verschlüsselte Daten enthalten Metadaten. Wenn Sie ein YouTube-Video über HTTPS streamen, werden diese Metadaten in Form von Zeitstempeln, IP-Adressen, Videogröße, Videolänge und - wie Dubin gezeigt hat - dem Muster, mit dem die Daten übertragen werden, angezeigt.

Proxy-Netzwerke wie das Tor-Netzwerk oder VPNs können dabei helfen, diese Metadaten zu entfernen, indem sie entweder verschleiert oder durch Schichten von Proxys geleitet werden.

Dein YouTube-Verlauf enthüllt: Researcher erkennt inhärente Sicherheitslücken beim Video-Streaming
admin Author
Sorry! The Author has not filled his profile.