Signal、Discordなど数百のプラットフォームを標的とした0クリック匿名化解除攻撃
2025-01-21
15歳の高校生Danielが、Cloudflareのキャッシングメカニズムを利用した重大な0クリック匿名化解除攻撃を発見しました。この脆弱性により、攻撃者はSignal、Discordなど数百もの脆弱なアプリケーションに悪意のあるペイロードを送信することで、250マイル圏内のユーザーの位置を特定できます。この攻撃はユーザーの操作を必要とせず、プッシュ通知を通じて行うことも可能です。Danielは、この攻撃の実態を示すツールとしてCloudflare Teleportを開発しました。彼は責任ある開示を行いましたが、関係企業からの反応はほとんど不十分でした。これは、CDNキャッシングに固有の潜在的なセキュリティリスクを浮き彫りにし、ユーザーのプライバシー意識の高さを改めて示しています。
テクノロジー