Een kwetsbaarheid in het veelgebruikte Cloudflare content delivery network (CDN) kan de locatie van een gebruiker onthullen door simpelweg een afbeelding te versturen via platforms zoals Signal en Discord. Dit stelt aanvallers in staat om iemand binnen enkele seconden te deanonymiseren, zonder dat de gebruiker hiervan op de hoogte is.
De 15-jarige beveiligingsonderzoeker ‘Daniel’ ontdekte de kwetsbaarheid drie maanden geleden en publiceerde zijn bevindingen op GitHub Gist als een waarschuwing voor journalisten, activisten en hackers die fysiek risico kunnen lopen.
Kwetsbaarheid
De fout zit in Cloudflare’s cachingmechanisme, dat vaak opgevraagde content zoals afbeeldingen en video’s opslaat in lokale datacenters. Wanneer een apparaat een verzoek doet, haalt Cloudflare de data op en cachet deze lokaal. Een aanvaller kan misbruik maken van dit proces door het doelwit een afbeelding te laten laden vanaf een Cloudflare-ondersteunde site, waarna de locatie van het dichtstbijzijnde datacenter kan worden achterhaald. Hiermee kan een nauwkeurige schatting van de locatie van de gebruiker worden gemaakt.
Daniel overwon een obstakel in de aanval, aangezien directe verzoeken aan Cloudflare-datacenters niet mogelijk zijn. Hij vond echter een bug waarmee hij via Cloudflare Workers gerichte verzoeken kon sturen. Hij ontwikkelde een tool genaamd ‘Cloudflare Teleport’ om HTTP-verzoeken naar specifieke datacenters te leiden.
Signal en Discord
Daniel demonstreerde hoe de kwetsbaarheid misbruikt kan worden via Signal en Discord. Op Signal kan een aanvaller een afbeelding of avatar sturen waarmee de locatie wordt onthuld, zelfs zonder dat de ontvanger de afbeelding opent. In Discord kan een aangepaste emoji of avatar worden gebruikt om hetzelfde effect te bereiken.
Reactie en mitigatie
Daniel informeerde Signal, Discord en Cloudflare over de kwetsbaarheid. Signal en Discord ondernamen geen actie, waarbij Signal stelde dat gebruikers zelf verantwoordelijk zijn voor hun privacy. Cloudflare heeft de oorspronkelijke bug in Workers gerepareerd en Daniel een beloning van $200 toegekend, maar hij wist de aanvalsmethode alsnog te omzeilen via een VPN.
Experts waarschuwen dat dergelijke kwetsbaarheden gevaarlijk kunnen zijn voor mensen die hun locatie moeten beschermen, zoals slachtoffers van huiselijk geweld of politieke dissidenten. Daniel adviseert gebruikers om hun blootstelling aan deze apps te beperken om zichzelf te beschermen.