Signal, Discord 등 수백 개 플랫폼을 노린 0클릭 익명성 해제 공격
2025-01-21
15세 고등학생 Daniel이 Cloudflare의 캐싱 메커니즘을 이용한 심각한 0클릭 익명성 해제 공격을 발견했습니다. 이 취약성을 통해 공격자는 Signal, Discord 등 수백 개의 취약한 애플리케이션에 악의적인 페이로드를 전송하여 250마일 반경 내의 사용자 위치를 파악할 수 있습니다. 이 공격은 사용자의 조작이 필요 없으며, 푸시 알림을 통해서도 가능합니다. Daniel은 이 공격의 실태를 보여주는 도구로 Cloudflare Teleport를 개발했습니다. 그는 책임감 있는 공개를 했지만, 관련 기업의 반응은 대부분 미흡했습니다. 이는 CDN 캐싱에 고유한 잠재적인 보안 위험을 부각하며, 사용자의 프라이버시 인식의 중요성을 다시 한번 보여줍니다.
기술