آسیبپذیری Cloudflare میتواند مکان کاربران اپلیکیشنهای پیامرسان و شبکههای اجتماعی را لو دهد
- شنبه, ۶ بهمن ۱۴۰۳، ۰۱:۱۳ ب.ظ
🔹یک مشکل امنیتی در شبکه تحویل محتوای Cloudflare شناسایی شده است که به مهاجمان اجازه میداد مکان تقریبی کاربران اپلیکیشنهای پیامرسان و شبکههای اجتماعی مانند Signal، Discord و ایکس را تخمین بزنند.
🔸این آسیبپذیری ناشی از نحوه استفاده این برنامهها از Cloudflare برای کش کردن تصاویر است و ارتباطی با آسیبپذیری خود برنامهها ندارد . مهاجم با ارسال یک تصویر به کاربر هدف، میتواند بفهمد که کدام دیتاسنتر Cloudflare تصویر را کش کرده و بدین ترتیب مکان کاربر را تخمین بزند.
🔹 این آسیبپذیری بهوسیله پژوهشگری به نام daniel کشف شده است که با استفاده از ابزاری به نام Cloudflare Teleport، توانسته درخواستهایی به تمام مراکز داده Cloudflare ارسال کند تا مشخص کند تصویر در کدام دیتاسنتر کلادفلر کش شده است! این پژوهشگر از این طریق میتواند محل تقریبی کاربر را پیدا کند (در واقع محل یا کشوری که دیتاسنتر یا CDN کلادفلر در آن کشور وجود دارد).