Un quindicenne della Virginia ha catturato l'attenzione internazionale con la sua scoperta riguardo un attacco 0-clic che potrebbe mettere a repentaglio la privacy degli utenti di alcune delle più popolari applicazioni di messaggistica. Secondo Daniel, il giovane studente, con questo metodo si può deanonimizzare gli utenti, ovvero localizzarli con una buona approssimazione, utilizzando dati provenienti da Cloudflare. La situazione ha sollevato interrogativi su quanto sia sicuro l'uso di queste applicazioni e su come le tecnologie di caching possano presentare nuove vulnerabilità.
Il metodo di geolocalizzazione svelato
Daniel ha scoperto che molte applicazioni di messaggistica come Signal, Discord e il social network X utilizzano l’infrastruttura di Cloudflare per memorizzare nella cache le immagini tra gli utenti. L’analisi ha rivelato un potenziale per sfruttare questa configurazione a scopo di deanonimizzazione. Cloudflare ha una rete globale impressionante di data center, distribuiti in oltre 120 paesi e 330 città, il che amplifica la possibilità di raccogliere dati più facilmente.
In particolare, il quindicenne ha notato che le risposte HTTP fornite da Cloudflare contengono informazioni cruciali. Tra questi, cf-cache-status, che indica se una risorsa è memorizzata nella cache e cf-ray, che registra il codice aeroportuale del data center più vicino all'utente. Questi dati possono permettere di fare delle stime riguardo alla ubicazione fisica degli utenti.
Questa suscettibilità a un attacco di deanonimizzazione si basa sul fatto che, se una risorsa viene visualizzata dalla "vittima", essa viene automaticamente memorizzata nel data center più vicino a loro. Pertanto, è possibile risalire all'origine della richiesta e dedurre la posizione geografica dell'unico utente.
La persistenza dell'attacco nonostante le contromisure
Il lavoro di Daniel ha messo in luce non solo come l'attacco sia riuscito a ottenere risultati con poca difficoltà, ma anche come Cloudflare, pur avendo implementato alcune misure di sicurezza, non sia riuscita a risolvere completamente il problema. Nonostante il miglioramento nelle salvaguardie, la natura intrinseca del sistema di caching continua a esporre informazioni relative alla posizione degli utenti.
Nella sua ricerca, Daniel ha mostrato come sia possibile inviare una “risorsa-esca” ai destinatari, la quale, quando visualizzata, attiva il caching da parte di Cloudflare. Queste informazioni, una volta registrate, rimangono recuperabili e accessibili a chiunque sia in grado di sfruttare queste vulnerabilità. La risposta iniziale di Cloudflare non ha dunque risolto la questione principale.
Le reazioni delle piattaforme e le implicazioni per la privacy
A fronte di questa scoperta, Signal, una delle applicazioni coinvolte, ha risposto rigettando la responsabilità, suggerendo che spetta agli utenti proteggere la propria identità. Hanno evidenziato che non si possono replicare le funzionalità di anonimato offerte da progetti alternativi come Tor e Wireguard. La posizione di Signal lascia trapelare una certa frustrazione, considerando la fiducia che gli utenti ripongono nell'app per la loro privacy.
Daniel non ha tardato a manifestare il proprio disaccordo con le argomentazioni di Signal, evidenziando che l'app si presenta come una soluzione per garantire la privacy degli utenti. La scoperta di questo attacco ha dimostrato quanto sia complesso e connesso l'ecosistema digitale moderno e come le soluzioni di Content Delivery Network possano, paradossalmente, introdurre nuove vulnerabilità e rischi.
Le implicazioni di queste vulnerabilità all’interno del settore della messaggistica moderna sono notevoli. Mentre le tecnologie migliorano le performance e ottimizzano l'esperienza utente, sollevano anche la necessità di una maggiore consapevolezza e dell’adozione di best practices per proteggere la privacy degli utenti, fondamentali per limitare eventuali abusi.
