Сервисы для трансляции видео уязвимы к кибератакам из-за проблемы в технологии MPEG-DASH. Злоумышленник может с точностью в 95% отследить просматриваемый пользователем контент, даже если сервис использует HTTPS-шифрование.
Данный тип отслеживания возможен из-за уязвимости в технологии MPEG-DASH, приводящей к утечке информации. Исправить уязвимость весьма сложно, поскольку для этого пришлось бы перестраивать всю технологию с нуля.
В начале эры интернета, если пользователь хотел просмотреть трансляцию видео в Сети, на его компьютер загружался весь файл. Для того чтобы избежать потери пропускной способности, были изобретены различные методы улучшения online-трансляций видео. Одним из них является технология MPEG-DASH (Dynamic Adaptive Streaming over HTTP), разбивающая исходное видео, хранящееся на сервере, на более мелкие сегменты, содержащие по несколько секунд видео. В зависимости от того, какую часть видео просматривает пользователь, его браузер или видеоплеер будет загружать только фрагменты, необходимые для отображения этого конкретного раздела потока.
Как выяснили исследователи, каждый сегмент видео достаточно уникален для создания "цифрового отпечатка". Уязвимость заключается в том, что каждый сегмент кодируется с разным битрейтом. Когда пользователь загружает данные файлы, формируется шаблон загрузки пакетов доступный каждому, кто имеет возможность просматривать сетевой трафик пользователя.
По словам исследователей, "отпечаток" виден даже в том случае, если трафик зашифрован. Злоумышленнику нужно лишь создать базу данных "цифровых отпечатков" для интересующих его видео.
Для слежки в подобных масштабах злоумышленник должен иметь возможность перехвата и анализа трафика пользователя. Необходимые для этого мощности есть у интернет-провайдеров, правительственных организаций, модераторов трафика, а также у вредоносных программ в небольших локальных сетях.
В среднем уровень успешности такой атаки составляет более 95%. В ходе тестирования исследователям в 99,5% случаев удалось идентифицировать видео, просматриваемое пользователем на YouTube, в 98,6% случаев на Vimeo, в 98,5% — на Netflix и в 92,5% — на Amazon. Помимо этого, исследователям удалось осуществить данную атаку с помощью кода JavaScript, скрытого в рекламном баннере.

Источник: securitylab.ru