Uma falha alarmante no sistema de entrega de conteúdos (CDN) da Cloudflare foi descoberta, comprometendo a localização geral dos utilizadores. Este problema pode ser explorado simplesmente enviando uma imagem através de plataformas como o Signal e o Discord, levantando sérias preocupações de privacidade.
Apesar de não oferecer uma precisão suficiente para rastreamento a nível de rua, a vulnerabilidade permite identificar regiões geográficas e monitorizar os movimentos das vítimas. Para jornalistas, ativistas, dissidentes e até mesmo cibercriminosos, isto representa um risco significativo. Contudo, para as autoridades policiais, esta brecha pode ser uma ferramenta útil na localização de suspeitos.
Ataque Zero-Click Silencioso Revela Localização em Segundos
O investigador de segurança Daniel revelou, há três meses, um ataque inovador de desanonimização que pode identificar a localização de qualquer pessoa com uma margem de erro de 400 quilómetros. Este ataque, descrito como “zero-click”, funciona sem qualquer interação por parte do utilizador.
“Descobri uma vulnerabilidade que permite rastrear a localização de qualquer alvo numa questão de segundos, apenas enviando um payload malicioso. A vítima nunca saberá que foi rastreada,” explicou Daniel.
Para realizar o ataque, o investigador envia uma imagem única – como um avatar ou captura de ecrã – alojada no CDN da Cloudflare. A chave para o sucesso está numa falha nos Workers da Cloudflare, permitindo forçar pedidos através de centros de dados específicos, utilizando uma ferramenta personalizada chamada Cloudflare Teleport.
A vulnerabilidade original foi mitigada, mas Daniel encontrou uma maneira engenhosa de contorná-la, utilizando redes VPN para testar diferentes localizações do CDN. Desta forma, ele conseguiu continuar a explorar a falha, ainda que de forma mais trabalhosa.
Geo-Rastreamento Discreto em Apps Populares
Esta falha é especialmente perigosa em aplicações como o Signal e o Discord, que descarregam automaticamente imagens para notificações push. Isto torna possível rastrear utilizadores sem que estes abram as mensagens, aumentando a eficiência do ataque.
A precisão do rastreamento varia entre 80 e 480 quilómetros, dependendo da densidade de centros de dados da Cloudflare na região. Em grandes cidades, a precisão é significativamente maior do que em áreas rurais.
Durante os testes, o investigador conseguiu rastrear o CTO do Discord, Stanislav Vishnevskiy, ao explorar o uso de anycast routing, uma técnica que distribui pedidos por múltiplos centros de dados próximos, aumentando ainda mais a precisão.
Reações das Plataformas Afetadas
De acordo com a 404 Media, Daniel reportou as suas descobertas à Cloudflare, Signal e Discord. A Cloudflare considerou o problema resolvido e premiou o investigador com um bónus de $200. No entanto, Daniel comprovou que o ataque ainda é possível com ajustamentos.
“Escolhi um fornecedor de VPN com mais de 3.000 servidores em 31 países e consegui acessar cerca de 54% dos centros de dados da Cloudflare. Isso cobre a maioria das áreas populosas do mundo,” explicou Daniel.
Por outro lado, tanto o Discord quanto o Signal rejeitaram a responsabilidade, considerando que a falha reside no CDN da Cloudflare e não nas suas plataformas.
Resposta Oficial da Cloudflare
Um porta-voz da Cloudflare declarou: “Esta vulnerabilidade foi relatada em dezembro de 2024 através do nosso programa de bug bounty, investigada e resolvida imediatamente. A capacidade de direcionar pedidos para centros de dados específicos foi rapidamente neutralizada. Encorajamos todos os investigadores a continuar a reportar este tipo de atividade para revisão pela nossa equipa.”
Apesar das medidas tomadas, esta falha sublinha os desafios permanentes na segurança digital e a necessidade de vigilância constante para proteger a privacidade dos utilizadores.
