Bir güvenlik araştırmacısı, Cloudflare’in içerik dağıtım ağında (CDN), bir kişinin genel konumunun, Signal ve Discord gibi platformlarda yalnızca bir görüntü gönderilerek açığa çıkmasına neden olabilecek bir kusur keşfetti.
Saldırının coğrafi konum belirleme yeteneği sokak düzeyinde takip için yeterince hassas olmasa da, bir kişinin hangi coğrafi bölgede yaşadığını anlamak ve hareketlerini izlemek için yeterli veri sağlayabiliyor.
Daniel’in bulgusu özellikle gazeteciler, aktivistler, muhalifler ve hatta siber suçlular gibi mahremiyetlerine son derece önem veren kişiler için endişe verici.
Ancak kolluk kuvvetleri için bu kusur, soruşturmalara bir nimet olabilir ve şüphelinin bulunabileceği ülke veya eyalet hakkında daha fazla bilgi edinmelerine olanak sağlayabilir.
Gizli 0 tıklamayla izleme
Üç ay önce Daniel adında bir güvenlik araştırmacısı, Cloudflare’in yükleme sürelerini iyileştirmek için medya kaynaklarını kullanıcıya en yakın veri merkezinde önbelleğe aldığını keşfetti.
Daniel, “3 ay önce, bir saldırganın 250 mil yarıçapındaki herhangi bir hedefin konumunu yakalamasına olanak tanıyan, 0 tıklamayla benzersiz bir anonimleştirme saldırısı keşfettim” diye açıkladı.
“Hedefin telefonuna (veya dizüstü bilgisayarına arka plan uygulaması olarak) yüklenen savunmasız bir uygulamayla, bir saldırgan kötü amaçlı bir veri gönderebilir ve saniyeler içinde sizi anonimlikten çıkarabilir; hatta siz farkına bile varmazsınız.
Bilgi ifşa saldırısını gerçekleştirmek için araştırmacı, Cloudflare’in CDN’sinde barındırılan, ekran görüntüsü veya profil avatarı olsun, benzersiz bir görsele sahip birine bir mesaj gönderecektir.
Daha sonra Cloudflare Workers’ta, Cloudflare Teleport adlı özel bir araç kullanarak isteklerin belirli veri merkezleri üzerinden zorlanmasına izin veren bir hatadan yararlandı.
Bu keyfi yönlendirmeye normalde Cloudflare’in her isteğin en yakın veri merkezinden yönlendirilmesini zorunlu kılan varsayılan güvenlik kısıtlamaları tarafından izin verilmez.
Araştırmacı, gönderilen görüntü için farklı Cloudflare veri merkezlerinden önbelleğe alınmış yanıtları numaralandırarak, veri merkezlerinin yakınındaki en yakın havaalanı kodunu döndüren CDN’ye dayalı olarak kullanıcıların genel konumunu haritalandırabilir.
Kaynak: hackermondev | GitHub
Ayrıca, Signal ve Discord da dahil olmak üzere pek çok uygulama, anlık bildirimler için görselleri otomatik olarak indirdiğinden, bir saldırgan, kullanıcı etkileşimi olmadan bir hedefi izleyebilir ve bu da bunu sıfır tıklamalı bir saldırı haline getirir.
İzleme doğruluğu, bölgeye ve yakınlarda kaç Cloudflare veri merkezinin bulunduğuna bağlı olarak 50 ila 300 mil arasında değişmektedir. Büyük şehirlerin etrafındaki hassasiyet, kırsal veya daha az nüfuslu bölgelere göre daha iyi olmalıdır.
Araştırmacı, Discord’un CTO’su Stanislav Vishnevskiy ile coğrafi konum belirleme denemeleri yaparken, Cloudflare’in, daha iyi yük dengeleme talebini yerine getiren yakındaki birden fazla veri merkezi ile herhangi bir yayın yönlendirmesini kullandığını ve bu sayede daha da iyi doğruluk sağladığını keşfetti.
Kaynak: hackermondev | GitHub
Etkilenen platformlardan yanıt
İlk olarak 404 Media tarafından bildirildiği üzere araştırmacı bulgularını Cloudflare, Signal ve Discord’a açıkladı ve ilki bunu çözümlendi olarak işaretledi ve ona 200 dolar ödül verdi.
Daniel, Workers hatasının yamandığını doğruladı, ancak Teleport’u farklı CDN konumlarını test etmek için bir VPN kullanacak şekilde yeniden programlayarak, coğrafi konum belirleme saldırıları artık biraz daha hantal olsa da hala mümkün.
Araştırmacı yazısında şöyle açıklıyor: “Dünya çapında 31 farklı ülkede çeşitli konumlarda bulunan 3.000’den fazla sunucuya sahip bir VPN sağlayıcısı seçtim.”
“Bu yeni yöntemi kullanarak tüm Cloudflare veri merkezlerinin yaklaşık %54’üne tekrar ulaşabiliyorum. Bu çok fazla gibi görünmese de bu, dünyada önemli nüfusa sahip çoğu yeri kapsıyor.”
Sonraki bir talebe yanıt veren Cloudflare, araştırmacıya önbelleğe almayı devre dışı bırakmanın nihai olarak kullanıcıların sorumluluğunda olduğunu söyledi.
Discord, Signal gibi raporu bir Cloudflare sorunu olarak reddetti ve ağ katmanı anonimlik özelliklerini uygulamanın görev kapsamı dışında olduğunu belirtti.
BleepingComputer, araştırmacının bulguları hakkında yorum yapmak için Signal, Discord ve Cloudflare’e ulaştı ancak biz hâlâ onların yanıtlarını bekliyoruz.