Ataque 0-click de desanonimização visando plataformas como Signal e Discord

 (gist.github.com/hackermondev)
1 pontos por GN⁺ 2025-01-22 | 1 comentários | Compartilhar no WhatsApp
  • Olá, eu sou Daniel. Sou um estudante do 3º ano do ensino médio, com 15 anos. No meu tempo livre, hackeio grandes empresas e crio coisas legais. Há 3 meses, descobri um ataque 0-click de desanonimização que permite a um invasor rastrear a localização de um alvo em um raio de 250 milhas por meio de dispositivos com determinados apps instalados. Quero usar esta pesquisa para alertar jornalistas, ativistas e hackers.

Cloudflare

  • A Cloudflare é uma das CDNs mais populares do mercado, superando Sucuri, Amazon CloudFront, Akamai e Fastly.
  • Um dos principais recursos da Cloudflare é o cache, que armazena conteúdo acessado com frequência para reduzir a carga do servidor e melhorar o desempenho dos sites.
  • A Cloudflare tem data centers em 330 cidades ao redor do mundo, o que representa 273% a mais do que o Google.
  • Como os dados em cache da Cloudflare são armazenados perto do usuário, surgiu a ideia de explorar isso em um ataque de desanonimização.

Cloudflare Teleport

  • Não é possível enviar requisições HTTP diretamente para os data centers da Cloudflare, mas foi descoberto um método para enviar requisições a data centers específicos usando Cloudflare Workers.
  • Cloudflare Teleport é uma ferramenta de proxy que redireciona requisições HTTP para data centers específicos por meio de Cloudflare Workers.
  • Mais tarde, essa ferramenta foi corrigida pela Cloudflare, mas foi usada nos testes iniciais.

Primeiro ataque de desanonimização

  • A teoria foi verificada usando a ferramenta Cloudflare Teleport, além de um programa CLI simples que enviava requisições HTTP GET para uma URL específica e listava o cache do recurso e sua idade.
  • O teste foi feito usando o favicon da Namecheap, confirmando a teoria.

Aplicação prática: Signal

  • Signal é um serviço de mensagens criptografadas de código aberto amplamente usado por jornalistas e ativistas.
  • As URLs de anexos do Signal têm cache da Cloudflare habilitado, o que permite rastrear a localização do destinatário usando o método de geolocalização por cache.
  • O ataque 0-click é possível por meio de notificações push, e o anexo é baixado automaticamente mesmo que o usuário não abra a conversa.

Aplicação prática: Discord

  • Discord é um app gratuito voltado para gamers e recentemente tem chamado atenção em casos ligados a vazamentos governamentais e cibercrime.
  • As URLs de avatar de usuários do Discord têm cache da Cloudflare habilitado, o que permite um ataque 0-click por meio de notificações push.
  • Um bot do Discord chamado GeoGuesser pode ser usado para executar ataques automatizados e visualizar os resultados diretamente no Discord.

Relatório de bug bounty

  • Os resultados da pesquisa foram reportados ao Signal e ao Discord, mas a resposta recebida foi, em grande parte, decepcionante.
  • A Cloudflare corrigiu o bug que permitia o redirecionamento entre data centers, mas o problema fundamental permanece sem solução.

Como se proteger

  • Esse ataque pode representar um grande risco, especialmente para jornalistas, ativistas e pessoas que valorizam privacidade.
  • Qualquer app que use CDN ainda pode ser vulnerável se não adotar medidas preventivas adequadas.

Considerações finais

  • CDNs melhoram desempenho e escalabilidade, mas também introduzem riscos que podem ser explorados de novas maneiras.
  • Usuários em funções sensíveis ou que valorizam privacidade devem se manter bem informados e vigilantes.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-01-22
Comentários do Hacker News

  • Quando um usuário do Signal envia uma foto, ela é armazenada em cache no data center via Cloudflare. Rastrear a localização do usuário é um exagero e, a menos que ele esteja em um lugar remoto, isso não compromete o anonimato. Ainda assim, é uma análise interessante

    • Acho que o recurso de recebimento automático de anexos do Signal deveria ter uma opção para ser desativado por motivos de privacidade
    • O Signal adota uma abordagem de equilibrar facilidade de uso e privacidade. Para usuários mais sensíveis à segurança, recomenda-se o uso de VPN e proxy
    • O cache vai continuar existindo, e a resposta da Cloudflare é uma das melhores abordagens. Não é recomendável armazenar em cache informações sensíveis

  • Signal e Discord não oferecem anonimato. Alegam que não conseguem ler as mensagens, mas não são perfeitos

    • O carregamento automático de mídia é uma escolha voltada à conveniência do usuário e pode ser usado como parte de um ataque contra o anonimato
    • Se quiser manter o anonimato, é melhor não usar Discord nem Signal

  • Alguns usuários acham que essa técnica compromete o anonimato. Com ataques repetidos, seria possível rastrear a rota de deslocamento do usuário

  • Rastrear a localização dentro de um raio de 250 milhas não compromete o anonimato. Seria necessário OSINT adicional

  • Esse ataque pode ser usado por autoridades policiais ou agentes maliciosos para determinar a localização do usuário

  • Há dúvidas sobre por que o Signal ativou o cache de URL. Desativar o cache provavelmente resolveria o problema

  • Esse é o funcionamento básico da internet e o motivo pelo qual proxies de anonimização são necessários. Para a maioria dos usuários, não é uma grande ameaça

  • Este é um ataque não tradicional, sem execução de código. Ele pode revelar a localização aproximada do usuário por meio do data center da Cloudflare