Deanonymisierung durch die Hintertür: Wie Cloudflares Cache-System ausgenutzt wird
Kürzlich teilte ein junger Hacker, bekannt als "Daniel", detaillierte Informationen über einen vermeintlichen "Deanonymisierung Angriff" auf Cloudflare – ein bekanntes Content Delivery Network (CDN) – und stellte Fragen zur Sicherheit der Nutzer und zum Datenschutz auf.
Cloudflare und CDN
Cloudflare ist ein bedeutender Akteur im CDN-Bereich und bietet Dienste an, die die Bereitstellung von Webinhalten optimieren und die Leistung von Websites durch Caching-Mechanismen verbessern. Mit seinem umfangreichen Netzwerk speichert Cloudflare zwischengespeicherte Ressourcen wie Bilder und Webseiten in verschiedenen Rechenzentren weltweit, die sich nahe bei den Nutzern befinden, um die Serverlast zu minimieren und die Zugriffszeit zu verbessern.
Dazu betreibt Cloudflare eine umfangreiche digitale Infrastruktur in über 330 Städten weltweit und hebt sich damit deutlich von Konkurrenten wie Amazon CloudFront oder Akamai ab.
Der Angriff
Daniel präsentiert eine innovative Methode, die sogenannte Zero-Click-Deanonymisierungstechnik, mit der sich Benutzerstandorte innerhalb eines Radius von etwa 400 Kilometern bestimmen lassen. Der Angriff nutzt Schwachstellen im Caching-System von Cloudflare aus und greift auf die HTTP-Header-Elemente cf-cache-status und cf-ray zurück, um das nächstgelegene Rechenzentrum zu identifizieren und so indirekt den ungefähren Standort des Nutzers preiszugeben.
- Ein Angreifer würde das Gerät eines Nutzers dazu bringen, eine Ressource von einer von Cloudflare bereitgestellten Website zu laden.
- Durch die Identifizierung, welches Rechenzentrum die Ressource zwischengespeichert hat, könnte der Angreifer den allgemeinen Standort des Nutzers ableiten.
- Um dieses Ziel zu erreichen, entwickelte Daniel ein kleines Tool "Cloudflare Teleport": Da es nicht möglich ist, HTTP-Anfragen direkt an ein beliebiges Cloudflare-Rechenzentrum zu senden, nutzte er Cloudflare Workers, um alle Rechenzentren nacheinander abzufragen.
Signal: Von 1-Click auf 0-Click
Daniel konnte den Angriffsvektor erfolgreich in der Signal-App verifizieren:
Wenn ein Benutzer einen Anhang (z. B. ein Bild) über Signal sendet, wird dieser auf cdn2.signal.org hochgeladen, das von Cloudflare betrieben wird. Aufgrund des aktivierten Cachings für diese URLs kann ein Angreifer die beschriebene Cache-Geolocation-Methode nutzen, um den Standort des Empfängers zu ermitteln.
Mit Push-Benachrichtigungen wird der Angriff noch einfacher:
Damit die „1-Klick-Methode“ funktioniert, muss der Benutzer die Signal-Konversation öffnen. Mit aktivierten Push-Benachrichtigungen ist dies jedoch nicht mehr erforderlich, da der Angriff ohne jegliche Benutzerinteraktion durchgeführt werden kann. Sobald eine Benachrichtigung an das Gerät gesendet wird, lädt die Signal-App den Anhang automatisch vom CDN herunter.
Daniel gelang es zudem, denselben Angriffsvektor erfolgreich auf Discord anzuwenden.
Reaktion
Daniel meldete pflichtbewusst die genannte Schwachstelle bei den betroffenen Plattformen. Bei Signal wurde ihm gesagt, dass es nicht in deren Verantwortung liegt und dass die Nutzer selbst Maßnahmen ergreifen sollten, um ihre Identität zu verbergen. Steile Aussage für eine Plattform, bei der scheinbar die Privatsphäre im Vordergrund steht.
Cloudflare hingegen reagierte auf den gemeldeten Fehler, der es dem "Cloudflare Teleport"-Tool erlaubte, Rechenzentren direkt abzufragen, und behob die Schwachstelle. Interessanterweise war derselbe Fehler bereits ein Jahr zuvor von einem anderen Reporter über das HackerOne-Programm gemeldet worden. Damals blieb eine Reaktion jedoch aus, da keine aktiven Angriffsszenarien bekannt waren. Trotz der vorgenommenen Korrekturen kann Daniels Tool bei der Nutzung eines VPNs weiterhin so implementiert werden, dass der Angriff unter bestimmten Bedingungen möglich bleibt.
Auch wenn viele diesen Angriff nicht als klassische „Deanonymisierung“ betrachten würden, darf nicht unterschätzt werden, welche reale Gefahr er in bestimmten Szenarien darstellen kann. Ein bekanntes Beispiel ist der Gründer der Silk Road, Ross Ulbricht, der unbeabsichtigt seine Zeitzone preisgab – ein Detail, das den US-Behörden half, ihren Suchradius auf die Vereinigten Staaten einzugrenzen. Ebenso könnte ein solcher Angriffsvektor dazu verwendet werden, den Standort von Journalisten zu ermitteln, die in autoritären Staaten recherchieren, was ihre Sicherheit erheblich gefährden könnte.
Dieser Fall verdeutlicht die zunehmende Komplexität unserer digital vernetzten Welt und zeigt, wie wichtig es ist, Sicherheitsmaßnahmen fortlaufend anzupassen und zu verbessern.