Questa notizia scuote un po’ il mondo della sicurezza informatica perché un giovane ricercatore di sicurezza di 15 anni ha evidenziato una falla nel sistema di cache di Cloudflare che consente di geolocalizzare qualsiasi utente di applicazioni come Signal o Discord. E la cosa più preoccupante è che questa tecnica funziona anche senza che la vittima debba cliccare su nulla!
Per comprenderlo appieno, cominciamo dalle basi. Cloudflare è un colosso del web che ospita e accelera un gran numero di siti e applicazioni tramite la sua rete CDN (Content Delivery Network) composta da centinaia di server distribuiti in 330 città di 120 paesi. In effetti, questo è ciò che utilizzo qui per il mio sito da anni.
Il principio è semplice: quando ricevi un’immagine su Signal o Discord, questa viene automaticamente scaricata dal server Cloudflare più vicino a te per ottimizzare le prestazioni. Ed è qui che la cosa diventa interessante… Analizzando quale server ha memorizzato l’immagine nella cache, possiamo determinare la tua area geografica con una precisione di circa 400 km!
Lo so, siamo laaaarge ma a volte può essere sufficiente trovare qualcuno in particolare quando abbiamo dei sospetti. Inoltre, la tecnica è particolarmente feroce perché non richiede alcun intervento da parte della vittima. Semplicemente:
- Invia una singola immagine tramite l’app
- Osserva quale data center Cloudflare sta memorizzando nella cache l’immagine
- Dedurre la posizione approssimativa dell’utente
La cosa più preoccupante è che anche se la persona non apre mai il messaggio, è sufficiente ricevere una notifica push perché l’app scaricherà automaticamente l’immagine in background. Nel caso di Discord anche una semplice richiesta di amicizia può innescare questo meccanismo.
Questa vulnerabilità è particolarmente preoccupante per alcune categorie di utenti:
- I giornalisti che devono proteggere le proprie fonti
- Attivisti e dissidenti che rischiano di essere localizzati
- Informatori che desiderano rimanere anonimi
Il ricercatore ha anche dimostrato la potenza di questa tecnica localizzando il CTO di Discord a San Francisco, dimostrando che potrebbe essere utilizzata per tracciare obiettivi specifici.
Tuttavia, di fronte a questa scoperta, le reazioni furono deludenti. Segnale ha respinto la questione spiegando che l’anonimato della rete non rientrava nella loro missione, considerando che spettava agli utenti utilizzare VPN o Tor. Discordia ha semplicemente passato la responsabilità a Cloudflare, definendolo un “problema generale del fornitore di servizi”.
E Cloudflare ha assegnato una taglia di $ 200 al ricercatore e ha corretto il difetto specifico utilizzato, ma altri metodi rimangono sfruttabili attraverso l’uso delle VPN.
In attesa di una vera soluzione, ecco alcuni consigli:
- Utilizza una VPN per nascondere la tua vera posizione
- Disattiva le notifiche push applicazioni sensibili
- Configura Segnale/Discordia per non scaricare automaticamente i media
- Scegli Tor per comunicazioni veramente sensibili
In ogni caso, questa scoperta solleva la questione della responsabilità degli attori tecnici: chi dovrebbe essere responsabile della protezione della privacy degli utenti? Le app? Fornitori di infrastrutture? Entrambi ? Gli utenti stessi?
In breve, resta vigile e tieni presente che anche una semplice notifica potrebbe rivelare la tua posizione…
Source link
Subscribe to our email newsletter to get the latest posts delivered right to your email.
Comments