یک محقق امنیتی در شبکه توزیع محتوا (CDN) کلودفلر نقصی امنیتی را شناسایی کرده است که میتواند موقعیت جغرافیایی کاربر را تنها با ارسال یک تصویر از طریق پلتفرمهایی مانند سیگنال یا دیسکورد فاش کند.
اگرچه قابلیت مکانیابی این نقص امنیتی کاملاً دقیق نیست، اما میتواند اطلاعات کافی را برای شناسایی منطقه جغرافیایی محل زندگی افراد و ردیابی حرکات آنها ارائه دهد.
این موضوع برای افرادی مانند خبرنگاران، فعالان، معترضان و حتی هکرها که نگران حریم خصوصی خود هستند، نگران کننده است، اما در عین حال میتواند برای نهادهای مجری قانون مفید باشد تا اطلاعات بیشتری در مورد کشور یا شهری که یک مظنون ممکن است در آن حضور داشته باشد، به دست آورند.
این محقق امنیتی سه ماه پیش متوجه شده بود که کلودفلر برای بهبود سرعت بارگذاری، منابع رسانهای را به نزدیکترین مرکز داده ارسال میکند. با توجه به این موضوع، یک مهاجم امنیتی میتواند با نصب یک برنامه آسیبپذیر روی تلفنهمراه قربانی، یک Payload مخرب ارسال کند و بدون نیاز به تعامل کاربر، اطلاعات موقعیت مکانی او را به دست آورد.
پس از در میان گذاشتن این مشکل با کلودفلر، سیگنال و دیسکورد، شرکت کلودفلر اعلام کرد که دیگر این مشکل بهصورت کامل رفع شده است. این نقص برای اولین بار در ماه دسامبر ۲۰۲۴ از طریق برنامه جایزه نقص امنیتی کلودفلر مطرح شد و پس از انجام تحقیقات لازم فوراً حل شده است.
توضیحات بیشتر:
- Cloudflare CDN flaw leaks user location data, even through secure chat apps