Видання 404 Media повідомило про проблему в Cloudflare, яка дозволяє дізнатися, який дата-центр компанії використовується для кешування того чи іншого зображення. В результаті зловмисник може дізнатися приблизне місцезнаходження користувачів Signal, Discord, X (Twitter) та інших додатків.

Фактично зловмиснику достатньо надіслати цілі будь-яке зображення, і жертві навіть не доведеться клікати на картинку, щоб атака спрацювала. Видання зазначає, що таким способом можна дізнатися досить приблизні дані про місцезнаходження: у тестах 404 Media атака показувала, в якому місті або штаті знаходиться людина, але не давала більш точної інформації. Однак атака все одно становить загрозу для користувачів.

«Швидше за все, це помилка в роботі мобільного додатка, а не вразливість в самому коді, але я все одно вважаю, що її потрібно виправити», — розповів виданню незалежний ІБ-дослідник Деніел (daniel), який виявив проблему.

Проблема була пов’язана з роботою CDN (Content Delivery Network) Cloudflare, яка кешує контент на безлічі розподілених серверів, а потім доставляє його користувачам залежно від їхнього місцезнаходження. Так, якщо користувач знаходиться в Сан-Франциско, CDN Cloudflare використовує найближчу до нього частину своєї CDN для прискорення доставки контенту. Cloudflare стверджує, що її дата-центри розташовані більш ніж в 330 містах в 120 країнах світу, і багато додатків використовують CDN компанії для доставки контенту.

Як виявилося, завдяки цьому стороння людина могла дізнатися, яка частина CDN Cloudflare використовувалася при передачі зображення, і на підставі цього визначити місцезнаходження одержувача.

Наразі Cloudflare виправила помилку, яку використовував Даніель. Однак, за словами дослідника, як і раніше, можливо здійснити подібну атаку, просто тепер «це стало трохи складніше». Так, замість свого інструменту він використовує VPN, щоб направляти трафік в різні локації, а потім відправляє запити в дата-центри Cloudflare.