0-Click-Angriff zur Anonymitätsaufhebung gegen Plattformen wie Signal und Discord

 (gist.github.com/hackermondev)
1 Punkte von GN⁺ 2025-01-22 | 1 Kommentare | Auf WhatsApp teilen
  • Hallo, ich bin Daniel. Ich bin 15 Jahre alt und Schüler der 12. Klasse. In meiner Freizeit hacke ich Großunternehmen und baue coole Dinge. Vor drei Monaten habe ich einen 0-Click-Angriff zur Anonymitätsaufhebung entdeckt, mit dem ein Angreifer den Standort eines Ziels in einem Umkreis von 250 Meilen über ein Gerät verfolgen kann, auf dem bestimmte Apps installiert sind. Mit dieser Untersuchung möchte ich Journalist:innen, Aktivist:innen und Hacker warnen.

Cloudflare

  • Cloudflare ist eines der beliebtesten CDNs auf dem Markt und übertrifft Sucuri, Amazon CloudFront, Akamai, Fastly und andere.
  • Eine der wichtigsten Funktionen von Cloudflare ist Caching: Häufig abgerufene Inhalte werden gespeichert, um die Serverlast zu senken und die Website-Performance zu verbessern.
  • Cloudflare betreibt Rechenzentren in 330 Städten weltweit, was 273 % mehr sind als bei Google.
  • Da die Cache-Daten von Cloudflare in der Nähe der Nutzer gespeichert werden, kam die Idee auf, ob sich dies für einen Angriff zur Anonymitätsaufhebung missbrauchen lässt.

Cloudflare Teleport

  • Direkte HTTP-Anfragen an Cloudflare-Rechenzentren sind nicht möglich, aber ich habe einen Weg gefunden, mit Cloudflare Workers Anfragen an ein bestimmtes Rechenzentrum zu senden.
  • Cloudflare Teleport ist ein Proxy-Tool, das HTTP-Anfragen über Cloudflare Workers an ein bestimmtes Rechenzentrum umleitet.
  • Dieses Tool wurde später von Cloudflare gepatcht, kam aber in den ersten Tests zum Einsatz.

Der erste Angriff zur Anonymitätsaufhebung

  • Mit dem Tool Cloudflare Teleport wurde die Theorie überprüft, und über ein einfaches CLI-Programm wurden HTTP-GET-Anfragen an eine bestimmte URL gesendet sowie Ressourcen-Cache und Alter aufgelistet.
  • Der Test wurde mit dem Favicon von Namecheap durchgeführt und bestätigte die Theorie.

Praxisanwendung: Signal

  • Signal ist ein Open-Source-Dienst für verschlüsselte Nachrichten, der häufig von Journalist:innen und Aktivist:innen genutzt wird.
  • Für die Anhangs-URLs von Signal ist Cloudflare-Caching aktiviert, sodass sich der Standort des Empfängers mit einer Methode über die geografische Lage des Caches verfolgen lässt.
  • Über Push-Benachrichtigungen ist ein 0-Click-Angriff möglich, da Anhänge automatisch heruntergeladen werden, auch wenn der Nutzer die Unterhaltung nicht öffnet.

Praxisanwendung: Discord

  • Discord ist eine kostenlose App für Gamer und steht in letzter Zeit im Zusammenhang mit staatlichen Leaks und Cyberkriminalität im Fokus.
  • Für die Avatar-URLs der Nutzer auf Discord ist Cloudflare-Caching aktiviert, wodurch über Push-Benachrichtigungen ein 0-Click-Angriff möglich ist.
  • Mit einem Discord-Bot namens GeoGuesser lässt sich der Angriff automatisieren, und die Ergebnisse können direkt in Discord eingesehen werden.

Bug-Bounty-Berichte

  • Ich habe die Forschungsergebnisse an Signal und Discord gemeldet, erhielt jedoch überwiegend enttäuschende Reaktionen.
  • Cloudflare hat den Bug gepatcht, der die Weiterleitung zwischen Rechenzentren ermöglichte, aber das grundlegende Problem wurde nicht gelöst.

So schützt man sich

  • Dieser Angriff kann besonders für Journalist:innen, Aktivist:innen und Menschen mit hohem Anspruch an Privatsphäre ein großes Risiko darstellen.
  • Jede App, die ein CDN nutzt, könnte weiterhin verwundbar sein, wenn keine geeigneten Schutzmaßnahmen getroffen werden.

Abschließende Gedanken

  • CDNs verbessern Performance und Skalierbarkeit, bringen aber auch das Risiko mit sich, auf neue Weise missbraucht zu werden.
  • Nutzer in sensiblen Rollen oder mit besonderem Fokus auf Privatsphäre sollten informiert und wachsam bleiben.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-01-22
Hacker-News-Kommentare

  • Wenn ein Signal-Nutzer ein Foto sendet, wird es über Cloudflare in einem Rechenzentrum zwischengespeichert. Die Verfolgung des Standorts eines Nutzers ist übertrieben dargestellt und verletzt die Anonymität nicht, solange sich der Nutzer nicht an einem abgelegenen Ort befindet. Dennoch eine interessante Analyse

    • Ich denke, Signals automatischer Empfang von Anhängen sollte aus Datenschutzgründen eine Option zum Deaktivieren haben
    • Signal verfolgt einen Ansatz, der Benutzerfreundlichkeit und Privatsphäre in Einklang bringen soll. Sicherheitsbewussten Nutzern wird die Verwendung von VPNs und Proxys empfohlen
    • Caching wird bleiben, und die Reaktion von Cloudflare ist eine der besten Methoden. Das Caching sensibler Informationen wird nicht empfohlen

  • Signal oder Discord bieten keine Anonymität. Sie behaupten zwar, dass Nachrichten nicht gelesen werden können, aber perfekt ist das nicht

    • Das automatische Laden von Medien ist eine Wahl zugunsten des Nutzerkomforts und kann als Teil eines Angriffs auf die Anonymität genutzt werden
    • Wer Anonymität wahren will, sollte besser weder Discord noch Signal verwenden

  • Einige Nutzer sind der Meinung, dass diese Technik die Anonymität beeinträchtigt. Mit wiederholten Angriffen kann der Bewegungsweg eines Nutzers verfolgt werden

  • Eine Standortverfolgung im Umkreis von 250 Meilen verletzt die Anonymität nicht. Dafür wäre zusätzliche OSINT nötig

  • Dieser Angriff könnte von Strafverfolgungsbehörden oder böswilligen Akteuren genutzt werden, um den Standort eines Nutzers zu bestimmen

  • Es wird infrage gestellt, warum Signal URL-Caching aktiviert hat. Das Deaktivieren des Cachings könnte das Problem lösen

  • Das ist die grundlegende Funktionsweise des Internets und der Grund, warum Anonymisierungs-Proxys nötig sind. Für die meisten Nutzer ist es keine große Bedrohung

  • Dieser Angriff ist ein unkonventioneller Angriff ohne Codeausführung. Über Cloudflare-Rechenzentren lässt sich der ungefähre Standort eines Nutzers bestimmen