Een beveiligingsonderzoeker ontdekte een kwetsbaarheid in het content delivery network (CDN) van Cloudflare, waardoor aanvallers de geschatte geografische locatie van een gebruiker kunnen vaststellen door hem simpelweg een afbeelding te sturen via berichtenapps zoals Signal en Discord.
Hoe de aanval werkt
De fout, ontdekt door een onderzoeker genaamd Daniel, maakt gebruik van het mechanisme van Cloudflare Workers, dat media-inhoud in de cache opslaat in het dichtstbijzijnde databankcentrum om de laadtijden te verbeteren. De aanval houdt in dat een bericht met een unieke afbeelding gehost op Cloudflare’s CDN wordt gestuurd. Met behulp van een aangepaste tool genaamd Cloudflare Teleport, kan de aanvaller de verzoeken dwingen om via specifieke datacenters te gaan en zo de geschatte locatie van de gebruiker in kaart te brengen.
De gedetecteerde locatie varieert tussen 80 en 480 kilometer van de werkelijke plaats, afhankelijk van de nabijheid van Cloudflare-datacenters. Deze aanval is bijzonder effectief in stedelijke gebieden waar meerdere datacenters aanwezig zijn, wat de nauwkeurigheid verhoogt.
Een ‘zero-click’-aanval
Wat deze aanval verontrustend maakt, is dat het geen interactie van de gebruiker vereist. Veel apps zoals Signal en Discord downloaden automatisch afbeeldingen voor pushmeldingen, waardoor de aanvaller de locatie van de gebruiker kan verkrijgen zonder dat deze het merkt.
De nauwkeurigheid van deze aanval varieert per regio, nauwkeuriger in grote steden en minder betrouwbaar in landelijke gebieden. Tijdens zijn tests toonde Daniel aan dat hij succesvol de CTO van Discord, Stanislav Vishnevskiy, kon traceren met behulp van deze techniek.
Reactie van de getroffen platforms
De onderzoeker meldde zijn bevindingen aan Cloudflare, Signal en Discord. Cloudflare erkende het probleem en lanceerde een correctie voor de bug in Workers, waarbij een beloning van 200 dollar aan de onderzoeker werd verleend. Daniel merkte echter op dat hij, door het gebruik van een VPN met wereldwijd verspreide servers, nog steeds toegang kan krijgen tot meer dan 50% van de Cloudflare-datacenters, wat aantoont dat de kwetsbaarheid niet volledig is verholpen.
Signal en Discord wezen directe verantwoordelijkheid voor het probleem af. Signal betoogde dat anonimisering op netwerkniveau buiten de reikwijdte van hun missie ligt, terwijl Discord aangaf dat het probleem bij de infrastructuur van Cloudflare hoort.
Risico’s en aanbevelingen
Hoewel deze aanval niet nauwkeurig genoeg is om specifieke adressen te lokaliseren, maakt het wel identificatie van geografische regio’s en bewegingspatronen mogelijk. Dit is met name zorgwekkend voor gebruikers met een hogere behoefte aan privacy, zoals journalisten, activisten of dissidenten.
Aanbevelingen voor gebruikers en beheerders:
- Uitschakelen van inhoudscaching in gevoelige apps.
- Het automatisch downloaden van afbeeldingen in berichtenapps beperken.
- Het vermijden van het gebruik van apps die geen veiligheidsmaatregelen in hun netwerkdiensten implementeren.
Deze bevinding benadrukt het belang van continue waakzaamheid op het gebied van CDN-beveiliging en hoe cloudservices de gegevens van hun gebruikers beheren.
via: Bleeping computer