Το HTTPS δεν είναι αρκετό για να προστατέψει τους χρήστες
Σύμφωνα με το secnews, Αμερικανοί ερευνητές διαπίστωσαν ότι η ανάλυση του web traffic ιστότοπων που κάνουν χρήση HTTPS μπορεί να αποδώσει προσωπικά δεδομένα χρηστών, που σχετίζονται ενδεχομένως με ιατρικές καταστάσεις και οικονομικές ή νομικές υποθέσεις.
Oι ερευνητές Brad Miller, AD Joseph, JD Tygar και Ling Huang απέδειξαν ότι ακόμα και η κρυπτογραφημένη διαδικτυακή κίνηση μπορεί να αναλυθεί, αποκαλύπτοντας πληροφορίες σχετικά με τις σελίδες τις οποίες οι χρήστες προβάλλουν.
Για την διεξαγωγή της έρευνας, πραγματοποιήθηκαν "επιθέσεις ανάλυσης της κίνησης" σε δέκα ιστότοπους, μεταξύ των οποίων περιλαμβάνονταν το Netflix, το YouTube, καθώς ιστοσελίδες οργανισμών παροχής χρηματοοικονομικών και νομικών υπηρεσιών, τραπεζών και νοσοκομείων.
H ανάλυση του web traffic αφορούσε 6.000 μεμονωμένα subdomains των παραπάνω ιστότοπων και είχε 90% ακρίβεια στη αντιστοίχιση των χρηστών με τις σελίδες που επισκέπτονταν.
Η επίθεση δεν είναι απλή. 'Όπως σημειώνουν οι ερευνητές, "ο επιτιθέμενος πρέπει να είναι σε θέση να επισκεφτεί τις ίδιες ιστοσελίδες με τον στόχο, και να έχει τη δυνατότητα να συλλάβει την κυκλοφορία του θύματος. Με τον τρόπο αυτό, ο εισβολέας μπορεί να εντοπίσει μοτίβα στην κρυπτογραφημένη κίνηση, που μπορούν να αντιστοιχηθούν με τις σελίδες όπου ο ίδιος και το θύμα επισκέφτηκαν".
"Ωστόσο οι πάροχοι Internet, και κατ΄ επέκταση και οι κυβερνήσεις μέσω των υπηρεσιών επιτήρησης, έχουν ακριβώς αυτή την εικόνα της κίνησης των χρηστών", επισημαίνουν οι ερευνητές.
Διαβάστε επίσης:
Το Facebook «σπρώχνει» τα κορίτσια στη βουλιμία και την ανορεξία