Z testów przeprowadzonych przez badaczy wynika, że "atak oparty na analizie" (takim terminem posługują się autorzy) charakteryzuje się nawet 89% skutecznością jeśli chodzi o identyfikowanie stron, jakie za pośrednictwem HTTPS przeglądał internauta. Mogłoby się wydawać, że taka wiedza nie jest specjalnie przydatna, ale naukowcy wyjaśniają, że dane takie można wykorzystać do stworzenia precyzyjnego profilu użytkownika, określającego m.in. stan jego zdrowia, status majątkowy, stan cywilny i itp.

Podczas prac nad nową metodą analizowania szyfrowanego ruchu specjaliści z University of California przeanalizowali w sumie ponad 460 tys. wyświetleń stron z 10 popularnych nie tylko w USA serwisów – wśród nich znalazły się m.in. serwisy kilku znanych amerykańskich ośrodków medycznych, banków takich jak Wells Fargo i Bank of America, prawnicze i poświęcone problemom społecznym, a także serwisy wideo Netflix i YouTube.

Zobacz również:

• Messenger będzie wreszcie szyfrować wiadomości w trybie E2EE

Aby atak mógł zadziałać, "szpieg" musi odwiedzić te same strony, które wyświetlane są w komputerze inwigilowanej osoby. Jest to niezbędne do zidentyfikowania charakterystycznych cech pakietów danych przesyłanych w zaszyfrowanym tunelu, co pozwala na identyfikowanie połączeń z konkretnymi witrynami. "Ten proces można porównać do sytuacji, w której ktoś daje ci rozłożony i zapakowany rower. Teoretycznie nie wiesz, co jest w takiej paczce, ale już po krótkiej obserwacji zorientujesz się, że jest tam coś, co wygląda jak koła, rama, łańcuch itp." wyjaśnia Brad Miller, współautor nowej metody. Podobnie działa algorytmy analizujące zaszyfrowany ruch do stron WWW. "Obserwujemy wszystkie dostarczane oddzielnie elementy witryny i stopniowo pozyskujemy tak dużo informacji, że nie musimy odszyfrowywać pakietów by dowiedzieć się, o jaką stronę chodzi" mówi Brad Miller.

Osoba przeprowadzająca taki atak musi stale monitorować łącze "ofiary", bo tylko w ten sposób może uzyskać materiał porównawczy do opisanej wyżej analizy. W praktyce oznacza to, że "napastnikiem" może być każda firma kontrolująca ruch HTTPS, czyli np. dostawcy usług internetowych, operatorzy sieci hotspotów, organizacje rządowe lub dział IT każdej organizacji.

Specjaliści podkreślają, że zastosowanie tej metody do analizowania zachowań internautów mogłoby oznaczać drastyczną ingerencję w prywatność użytkowników. Bo analizując listę odwiedzanych przez nich witryn można więcej niż mogłoby się wydawać dowiedzieć o ich sytuacji zdrowotnej, majątkowej itd. Dane takie mogą być przydatne firmom sprzedającym produkty, instytucjom rządowym (zarówno do ścigania przestępców, jak i osób o "nieodpowiednich" poglądach), a także zwykłym przestępcom. Można tu przypomnieć niedawny przypadek, gdy chiński portal społecznościowy Sina ukarał ponad 100 tysięcy swoich użytkowników zawieszeniem ich kont i publicznym upomnieniem za "naruszenie rządowych zasad korzystania z internetu".

Naukowcy z University of California opracowali nie tylko mechanizmy pozwalające na atak, ale również metodę umożliwiającą ograniczenie jego skutków – w uproszczeniu, polega ona na ograniczeniu liczby przesyłanych informacji, które można wykorzystać do analizy pakietów. Testy wykazały, że jej zastosowanie ogranicza skuteczność analizy z 89% do 27%.