Srednjoškolac otkrio propust koji otkriva približnu lokaciju korisnika chat aplikacija

Pošaljete li nekome na Signalu, X-u, Discordu i sličnim aplikacijama dokument, čak i ako ga primatelj ne otvori, propust kod Cloudflarea može otkriti gdje se on otprilike u svijetu nalazi u tom trenutku

Sandro Vrbanus srijeda, 22. siječnja 2025. u 16:10

Amerikanac koji se predstavlja tek kao Daniel je 15-godišnjak, a za sebe kaže da pohađa srednju školu i u slobodno vrijeme "hakira milijarde dolara vrijedne kompanije". Prije tri je mjeseca, kaže, otkrio napad koji može deanonimizirati podatke o korisnicima raznih aplikacija za dopisivanje i to bez potrebe da žrtva napada učini bilo što. Takav napad spada u kategoriju "0-click" napada i potencijalno je opasan jer otkriva lokaciju na kojoj se netko nalazi, doduše ne potpuno točnu.

Lako do lokacije

U podlozi svega je propust Cloudflarea, pružatelja usluga komunikacija u oblaku i sigurnosnih rješenja na Internetu, preko čijih poslužitelja prolazi velik dio svjetskog internetskog prometa. U slučaju kad je na mobitelu korisnika instalirana ranjiva aplikacija (primjerice Signal, X ili Discord), a njemu se putem tih platformi pošalje dokument, primjerice fotografija, pošiljatelj nakon toga može doći do podatka o približnoj lokaciji primatelja – ugrubo ga se locira u promjeru od nekoliko stotina kilometara. Čini se to dobivanjem informacije o tome koji je Cloudflareov server u svoju privremenu memoriju (cache) pohranio poslani dokument, čak i ako ga primatelj nije otvorio.

Kad mobilni uređaj zatraži pohranu podataka, Cloudflare pronalazi dostupne resurse na najbližem poslužitelju unutar podatkovnog centra, sve kako bi se podaci pohranili što je moguće bliže primatelju. Kompanija ima servere u preko 330 gradova i 120 zemalja, pa ako živite u razvijenoj zemlji, najbliži njihov podatkovni centar udaljen je od vas manje od 300-tinjak kilometara, kaže Daniel. Stoga je, piše na GitHubu, došao na ideju – može li se ta činjenica iskoristiti? Ispada da može, jer se u dokumentima nakon slanja može vidjeti "otisak" koji upućuje na podatkovni centar u kojem je dokument pohranjen.

"Nijedan sustav nije potpuno siguran"

Svoju je teoriju testirao, o čemu je napisao poduži tekst, pa je uspio izvesti "0-click" napade na više platformi. Kako bi dokazao da stvar funkcionira i automatski, izradio je bota koji korisnicima na Discordu šalje zahtjeve za prijateljstvom, čeka da oni prime notifikaciju o tome, pa potom automatski analizira podatke o cacheiranju te čak i osnovnom triangulacijom pronalazi najvjerojatniju lokaciju primatelja poruke.

S dokazima o uspješnom deanonimiziranju korisnika javio se kompanijama koje stoje iza ranjivih aplikacija, ali i Cloudflareu. Signal i Discord većinom su zanemarili njegovu prijavu i načinili tek manje korake u pogledu ispravljanja propusta, dok je Cloudflare djelomično zakrpao problem te krivnju za sve prebacio na svoje korisnike – aplikacije poput ovdje spomenutih.

Što je, nakon svega, zaključak mladog istraživača? "Ovaj napad naglašava koliko je digitalni ekosustav postao složen i međusobno povezan. Za korisnike s osjetljivim poslovima ili one koji su zabrinuti za svoju privatnost, ključni zaključak je sljedeći: budite informirani i svjesni. Iako niti jedan sustav nije potpuno siguran, poduzimanje koraka za ograničavanje vaše izloženosti može učiniti značajnu razliku."