Американецот, кој се претставува само како Даниел, има 15 години и вели дека е средношколец, а во слободно време „хакира компании вредни милијарди долари“. Пред три месеци открил напад што може да ги открие податоците на корисниците на различни апликации за пораки, без жртвата да мора да направи нешто. Таквиот напад спаѓа во категоријата напади со „0-клик“ и е потенцијално опасен бидејќи открива нечија локација, иако не е целосно точна.
Во основата на ова е неуспехот на „Клаудфлер“, компанија која дава услуги за облак и решенија за безбедност на интернет, преку чии сервери поминува голем дел од светскиот интернет-сообраќај. Во случај кога ранлива апликација (како што се „Сигнал“, „X“ или „Дискорд“) е инсталирана на мобилниот телефон на корисникот - и документ, како што е фотографија, е испратен до него преку овие платформи, испраќачот може да добие информации за локацијата на примачот - во радиус од неколку стотици километри. Ова се прави со добивање информации за тоа кој „Клаудфлер“ сервер во својата привремена меморија (кеш,) го скрил испратениот документ, дури и ако примачот не го отворил.
Кога мобилниот уред бара складирање податоци, „Клаудфлер“ наоѓа достапни ресурси на најблискиот сервер во центарот за податоци, и сето тоа за да се осигури дека податоците се складирани што е можно поблиску до примачот. Компанијата има сервери во над 330 града и 120 земји, па ако живеете во развиена земја, нивниот најблизок центар за податоци е на помалку од 300 километри од вас, вели Даниел. Така, се запрашал дали може да се искористи овој факт? Изгледа дека може бидејќи по испраќањето, во документите може да се види „отпечаток од прст“ што укажува на центарот за податоци каде што е зачуван документот.
Ја тестирал својата теорија и успеал да изврши напади со „0-клик“ на повеќе платформи. За да докаже дека работи автоматски, тој создал бот кој испраќа барања за пријателство до корисниците на „Дискорд“, чека тие да добијат известување за тоа, а потоа автоматски ги анализира податоците.
Со докази за успешно откривање на корисниците, тој ги контактирал компаниите кои стојат зад ранливите апликации. „Сигнал“ и „Дискорд“ во голема мера го игнорирале неговиот извештај и презеле само мали чекори за да ги поправат недостатоците, додека од „Клаудфлер“ делумно го поправиле проблемот и ја префрлиле вината на своите корисници.
Кој е заклучокот на младиот истражувач?
-Овој напад нагласува колку комплексен и меѓусебно поврзан стана дигиталниот екосистем. За корисниците со чувствителни работни места или оние што се загрижени за нивната приватност, клучот е ова: бидете информирани и свесни. Иако ниту еден систем не е целосно безбеден, преземањето чекори за ограничување на вашата изложеност може да направи значителна разлика - вели тој.
Извор: bug.hr
Фото: Freepik