کلودفلر یک باگ امنیتی مهم دارد

بهروز فیض
توسط:
0

 متخصصان راهی پیدا کرده‌اند تا تا حدی هویت ناشناس یک فرد را آشکار کرده و موقعیت کلی او را با ارسال یک تصویر در برخی از پلتفرم‌های پیام‌رسانی مشخص کنند.



این موضوع بر اساس یافته‌های یک محقق با سابقه ۱۵ ساله در زمینه امنیت سایبری به نام دانیل است که اخیراً یک آسیب‌پذیری در شبکه تحویل محتوای (CDN) شرکت Cloudflare کشف کرده است.


از نظر تئوری، این آسیب‌پذیری ساده است. Cloudflare می‌خواهد که کاربران پیام‌ها و محتوای چندرسانه‌ای خود را در سریع‌ترین زمان ممکن دریافت کنند. به همین دلیل، تصاویر ارسالی از طریق مرکز داده‌ای که به گیرنده نزدیک‌تر است، ارسال می‌شوند. اگر مهاجم بتواند تشخیص دهد که کدام مرکز داده استفاده شده است، می‌تواند تصویر نسبتاً دقیقی از موقعیت هدف خود به دست آورد.

دانیل توضیح داد: «یکی از پراستفاده‌ترین ویژگی‌های Cloudflare، سیستم کش (Caching) است. کش Cloudflare نسخه‌هایی از محتوای پرکاربرد (مانند تصاویر، ویدیوها یا صفحات وب) را در مراکز داده‌ خود ذخیره می‌کند تا بار روی سرورها را کاهش داده و عملکرد وب‌سایت را بهبود بخشد.»


دانیل ادامه داد: «وقتی دستگاه شما درخواستی برای یک منبع قابل کش ارسال می‌کند، Cloudflare در صورت موجود بودن، آن منبع را از حافظه مرکز داده محلی خود بازیابی می‌کند. در غیر این صورت، منبع را از سرور اصلی دریافت کرده، به صورت محلی ذخیره می‌کند (کش می‌کند) و سپس آن را بازمی‌گرداند. به طور پیش‌فرض، برخی از پسوندهای فایل به طور خودکار کش می‌شوند، اما مدیران سایت‌ها نیز می‌توانند قوانین جدیدی برای کش تنظیم کنند.»


او افزود: «اگر در یک کشور توسعه‌یافته زندگی می‌کنید، احتمال زیادی وجود دارد که نزدیک‌ترین مرکز داده به شما کمتر از ۲۰۰ مایل (۳۲۰ کیلومتر) فاصله داشته باشد.» از آنجایی که برخی از برنامه‌ها، مانند Signal یا Discord، تصویر کوچک (thumbnail) عکس را در نوتیفیکیشن نشان می‌دهند، این آسیب‌پذیری به یک آسیب‌پذیری بدون نیاز به کلیک (zero-click) تبدیل می‌شود.


برچسب :

ارسال یک نظر

0نظرات

ارسال یک نظر (0)