Një nxënës i shkollës së mesme zbuloi një defekt në aplikacionet e bisedës – vendndodhja juaj zbulohet edhe kur nuk klikoni asgjë
Një nxënës i shkollës së mesme zbuloi një defekt në aplikacionet e bisedës - vendndodhja juaj zbulohet edhe kur nuk klikoni asgjë
Amerikani, i cili e identifikon veten vetëm si Daniel, është 15 vjeç dhe thotë se është një gjimnazist që “hakon kompani miliarda dollarëshe” në kohën e tij të lirë. Tre muaj më parë, ajo zbuloi një sulm që mund të zbulonte të dhënat e përdoruesit në aplikacione të ndryshme të mesazheve pa pasur nevojë të bënte asgjë viktima. Një sulm i tillë bie në kategorinë e sulmeve “0-klikime” dhe është potencialisht i rrezikshëm sepse zbulon vendndodhjen e dikujt, megjithëse nuk është plotësisht i saktë.
Në zemër të kësaj është dështimi i Cloudflare, një kompani që ofron shërbime cloud dhe zgjidhje sigurie në internet, përmes serverëve të së cilës kalon pjesa më e madhe e trafikut të internetit në botë. Në rast se një aplikacion vulnerabël (si “Signal”, “X” ose “Discord”) instalohet në telefonin celular të përdoruesit – dhe një dokument, si një foto, i dërgohet atij përmes këtyre platformave, dërguesi mund të merrni informacion për vendndodhjen e marrësit – brenda një rrezeje prej disa qindra kilometrash. Kjo bëhet duke marrë informacion se cili server Cloudflare e ka fshehur dokumentin e dërguar në memorien e tij të përkohshme (cache), edhe nëse marrësi nuk e ka hapur atë.
Kur një pajisje celulare kërkon ruajtjen e të dhënave, Cloudflare gjen burime të disponueshme në serverin më të afërt në qendrën e të dhënave, të gjitha për të siguruar që të dhënat të ruhen sa më afër marrësit. Kompania ka serverë në mbi 330 qytete dhe 120 vende, kështu që nëse jetoni në një vend të zhvilluar, qendra e tyre më e afërt e të dhënave është më pak se 300 kilometra larg, thotë Daniel. Pra, ai pyeti veten nëse ky fakt mund të përdoret? Duket se mundet sepse pas dërgimit, në dokumentet mund të shihet një “gjurmë gishti” që tregon në qendrën e të dhënave ku ruhet dokumenti.
Ai testoi teorinë e tij dhe ishte në gjendje të kryente sulme me “0-klikime” në platforma të shumta. Për të vërtetuar se funksionon automatikisht, ai krijoi një bot që dërgon kërkesa për miqësi te përdoruesit e Discord, pret që ata të marrin një njoftim dhe më pas analizon automatikisht të dhënat.
Me dëshmi të zbulimit të suksesshëm të përdoruesve, ai kontaktoi kompanitë pas aplikacioneve të cenueshme. Signal and Discord e shpërfillën kryesisht raportin e tij dhe ndërmorën vetëm hapa të vegjël për të rregulluar të metat, ndërsa Cloudflare e rregulloi pjesërisht problemin dhe ia hodhi fajin përdoruesve të tij.
Research into a unique 0-click deanonymization exploit targeting Signal, Discord and hundreds of platform 🧵 pic.twitter.com/lLXUVxR01f
— daniel (@hackermondev) January 21, 2025
Cili është përfundimi i studiuesit të ri?
– Ky sulm nxjerr në pah se sa kompleks dhe i ndërlidhur është bërë ekosistemi dixhital. Për përdoruesit me punë të ndjeshme ose ata që shqetësohen për privatësinë e tyre, çelësi është ky: jini të informuar dhe të vetëdijshëm. Ndërsa asnjë sistem nuk është plotësisht i sigurt, marrja e hapave për të kufizuar ekspozimin tuaj mund të bëjë një ndryshim të rëndësishëm, thotë ai.
