La sicurezza online è un tema sempre più critico, e recentemente è stato scoperto un nuovo tipo di attacco chiamato “0-click deanonymizzazione” che mette a rischio la privacy degli utenti di app popolari come Signal, Discord e Twitter/X. Questo attacco sfrutta vulnerabilità nei sistemi di notifiche push e nei Content Delivery Networks (CDN) per rivelare la posizione di un utente entro un raggio di 250 miglia senza alcuna interazione da parte del bersaglio.
Come funziona l’attacco
L’attacco di 0-click deanonymizzazione si basa sulla capacità di un aggressore di analizzare quali data center hanno memorizzato specifico contenuto. Molti app utilizzano CDN come Cloudflare per migliorare le prestazioni, e quando una notifica push viene inviata a un dispositivo, essa automaticamente scarica il contenuto dall’applicazione CDN, attivando una risposta di cache in un data center vicino.
Esempio con Signal
Signal è un’app molto popolare tra giornalisti, attivisti e whistleblower, e l’attacco si basa sul fatto che le notifiche push di Signal includono l’autore e il messaggio quando sono inviate al dispositivo. Se il bersaglio ha le notifiche push abilitate (cosa che avviene di default), non è necessario aprire la conversazione di Signal per scaricare l’immagine allegata. Questo processo di download automatico del contenuto da CDN attiva la cache locale del data center, rivelando la posizione del dispositivo.
Esempio con Discord
Discord, un’applicazione comunemente utilizzata dai giocatori, ma anche coinvolta in attività di governo e cybercrime, è altrettanto vulnerabile. L’attacco si basa sul fatto che gli utenti con abbonamento Nitro possono utilizzare emoji personalizzati, che vengono caricati da CDN e configurati per essere memorizzati su Cloudflare. Un aggressore può inviare una richiesta di amicizia con un avatar personalizzato, attivando una notifica push che scarica e memorizza l’immagine dell’avatar, rivelando la posizione del bersaglio.
Rischi e Implicazioni
L’attacco di 0-click deanonymizzazione rappresenta un rischio significativo per utenti in posizioni sensibili come giornalisti, attivisti e individui consapevoli della privacy. Questo tipo di attacco dimostra come l’infrastruttura progettata per migliorare le prestazioni degli app possa essere sfruttata per tracciamenti invasivi.
Risposte delle App
Signal e Discord hanno inizialmente minimizzato la gravità della vulnerabilità, con Signal affermando che non era loro responsabilità fornire anonimato di rete e Discord attribuendo il problema a Cloudflare. Tuttavia, il creatore dell’attacco sostiene che queste risposte sono insufficienti, poiché la vulnerabilità deriva dalla progettazione fondamentale dei sistemi di caching e notifiche push.
Mitigazioni e Consigli
Per proteggersi da questo tipo di attacco, è importante prendere alcune misure di sicurezza:
- Disabilitare le notifiche push: Disabilitare le notifiche push può ridurre il rischio di essere tracciati.
- Utilizzare VPN: Utilizzare VPN può aiutare a nascondere la posizione reale, ma non è una soluzione definitiva contro questo tipo di attacco.
- Aggiornare le app: Aggiornare le app a versioni più sicure può aiutare a risolvere le vulnerabilità note.
- Monitorare le impostazioni di caching: Assicurarsi che le impostazioni di caching siano configurate in modo da non memorizzare risorse sensibili.
L’attacco di 0-click deanonymizzazione rappresenta una minaccia seria per la privacy online e dimostra come l’infrastruttura progettata per migliorare le prestazioni possa essere sfruttata per tracciamenti invasivi. È fondamentale rimanere informati e vigilanti, prendendo misure proattive per limitare l’esposizione ai rischi di questo tipo di attacco.
Fonte: https://cybersecuritynews.com/0-click-deanonymization-attack-exposed
