GN⁺: Signal, Discord 등 플랫폼을 겨냥한 0-click 익명성 해제 공격

• 안녕하세요, 저는 다니엘입니다. 저는 15세의 고등학교 3학년 학생입니다. 여가 시간에 대기업을 해킹하고 멋진 것들을 만듦. 3개월 전, 특정 앱이 설치된 기기를 통해 공격자가 250마일 반경 내의 대상의 위치를 추적할 수 있는 0-클릭 익명 해제 공격을 발견함. 이 연구를 통해 기자, 활동가, 해커들에게 경고하고자 함.

Cloudflare

• Cloudflare는 시장에서 가장 인기 있는 CDN 중 하나이며, Sucuri, Amazon CloudFront, Akamai, Fastly 등을 능가함.
• Cloudflare의 주요 기능 중 하나는 캐싱으로, 자주 접근하는 콘텐츠를 저장하여 서버 부하를 줄이고 웹사이트 성능을 향상시킴.
• Cloudflare는 전 세계 330개 도시의 데이터 센터를 보유하고 있으며, 이는 Google보다 273% 더 많은 수치임.
• Cloudflare의 캐시 데이터가 사용자와 가까운 곳에 저장되므로 이를 익명 해제 공격에 악용할 수 있을지에 대한 아이디어를 얻음.

Cloudflare Teleport

• Cloudflare 데이터 센터에 직접 HTTP 요청을 보낼 수 없지만, Cloudflare Workers를 사용하여 특정 데이터 센터로 요청을 보낼 수 있는 방법을 발견함.
• Cloudflare Teleport는 Cloudflare Workers를 통해 특정 데이터 센터로 HTTP 요청을 리디렉션하는 프록시 도구임.
• 이 도구는 이후 Cloudflare에 의해 패치되었지만, 초기 테스트에 사용됨.

첫 번째 익명 해제 공격

• Cloudflare Teleport 도구를 사용하여 이론을 확인하고, 간단한 CLI 프로그램을 통해 특정 URL로 HTTP GET 요청을 보내고 리소스 캐시 및 나이를 나열함.
• Namecheap의 favicon을 사용하여 테스트를 수행하고, 이론을 확인함.

실전 적용: Signal

• Signal은 기자와 활동가들이 많이 사용하는 오픈 소스 암호화 메시징 서비스임.
• Signal의 첨부 파일 URL은 Cloudflare 캐싱이 설정되어 있어, 캐시 지리적 위치 방법을 사용하여 수신자의 위치를 추적할 수 있음.
• 푸시 알림을 통해 0-클릭 공격이 가능하며, 사용자가 대화를 열지 않아도 첨부 파일이 자동으로 다운로드됨.

실전 적용: Discord

• Discord는 게이머를 대상으로 한 무료 앱으로, 최근 정부 유출 및 사이버 범죄와 관련하여 주목받고 있음.
• Discord의 사용자 아바타 URL은 Cloudflare 캐싱이 설정되어 있어, 푸시 알림을 통해 0-클릭 공격이 가능함.
• GeoGuesser라는 Discord 봇을 사용하여 자동화된 공격을 수행하고 결과를 Discord에서 직접 확인할 수 있음.

버그 바운티 보고서

• Signal과 Discord에 연구 결과를 보고했으나, 대부분 실망스러운 반응을 받음.
• Cloudflare는 데이터 센터 간 이동을 가능하게 했던 버그를 패치했으나, 근본적인 문제는 해결되지 않음.

자신을 보호하는 방법

• 이 공격은 특히 기자, 활동가, 프라이버시를 중시하는 개인에게 큰 위험이 될 수 있음.
• CDN을 사용하는 모든 앱은 적절한 예방 조치를 취하지 않으면 여전히 취약할 수 있음.

최종 생각

• CDN은 성능과 확장성을 향상시키지만, 새로운 방식으로 악용될 수 있는 위험도 함께 도입함.
• 민감한 역할을 맡고 있거나 프라이버시를 중시하는 사용자는 정보에 밝고 경계해야 함.