O “analysis attack” obteve uma taxa positiva de 89% na revelação de páginas de Internet, visualizadas pelas pessoas. A técnica está ao alcance de governos, mas também de empresas.
Investigadores da Universidade da Califórnia desenvolveram uma técnica passível de ser usada tanto por governos como por fornecedores de serviços de Internet para suplantar medidas de protecção de ligações ‒ e conseguirem recolher informações pessoais valiosas. O “analysis attack” ou “ataque de análise”, incide sobre o tráfego do tipo HTTPS e foi-lhe reconhecido uma taxa de precisão de 89%, na determinação das páginas de Internet visitadas pelas pessoas estudadas ‒ de acordo com a equipa de investigação, em Berkeley.
Essa monitorização permitiu aos investigadores a recolha de informações sobre as condições médicas, a orientação sexual, a situação financeira de um pessoa. É possível até saber se uma pessoa está envolvida num processo de divórcio ou de falência.
O estudo analisou mais de 463 mil carregamentos de página em dez sites bastante utilizados. Os de saúde englobaram os da Mayo Clinic, da Planned Parenthood e da Kaiser Permanente.
No sector da finança forma usados os do Wells Fargo, do Bank of America e do Vanguard. Os sites de serviços jurídicos pertenciam à American Civil Liberties Union e à Legal Zoom, os de streaming de vídeo escolhidos foram os da Netflix e do YouTube.
Para o ataque funcionar, potenciais intrusos teriam de ser capaz de visitar as mesmas páginas de Internet que a vítima. Isso permitiria aos atacantes identificarem os padrões de pacotes no tráfego cifrado criptografado, mas indicador de diferentes páginas da Internet.
“É como se alguém oferecesse uma bicicleta, mas desmontada e com cada peça embrulhada individualmente”, disse Brad Miller, co- autor do estudo. “Rapidamente se percebe que há dois pacotes grandes, parecidos com rodas, um quadro, um disforme correspondente à corrente, etc”, explicou.
Monitorizando-se o tráfego legal de um site pode-se descobrir um estado de divórcio, falência ou de imigração. Ao analisar o tráfego num site bancário pode fornecer informações sobre se uma pessoa tem filhos, está num relacionamento de longo prazo, ou está a ganhar muito dinheiro.
Qualquer empresa com o acesso ao tráfego HTTPS, como os fornecedores de Internet e de redes comerciais de pontos de acesso Wi -Fi, poderá recolher dados sobre os utilizadores dos sites ‒ mesmo com a utilização da criptografia, segundo o estudo.