Penemuan terbaru oleh seorang penyelidik keselamatan muda telah mencetuskan perdebatan hangat dalam komuniti teknologi mengenai keseimbangan antara kemudahan dan privasi dalam aplikasi pesanan selamat. Penemuan ini mendedahkan bagaimana penggunaan perkhidmatan CDN Cloudflare oleh Signal boleh mendedahkan lokasi anggaran pengguna melalui analisis cache.
Penemuan Teknikal
Penyelidik tersebut mengenal pasti bahawa apabila pengguna Signal menerima lampiran, fail-fail ini disimpan dalam cache di pusat data Cloudflare yang terdekat dengan penerima. Dengan menganalisis pusat data mana yang menyimpan lampiran tersebut, penyerang boleh menentukan lokasi anggaran pengguna dalam radius 250 batu. Teknik ini berfungsi melalui muat turun imej secara manual dan pemberitahuan push, menjadikannya serangan sifar-klik dalam senario tertentu.
Ciri-ciri Serangan:
- Jenis: Serangan geolokasi cache
- Ketepatan: Radius ~250 batu
- Perkhidmatan Terjejas: Signal, Discord, dan pengguna CDN Cloudflare yang lain
- Vektor Serangan: Lampiran imej dan pemberitahuan push
- Pengurangan Risiko: Penggunaan VPN, menyahaktifkan muat turun automatik
Respons Komuniti dan Penilaian Kesan
Walaupun penemuan teknikal ini inovatif, respons komuniti bercampur-campur mengenai tahap keseriusannya. Ramai pakar menyatakan bahawa data lokasi terlalu luas untuk dianggap sebagai penyahnamaan sebenar, manakala yang lain berpendapat bahawa walaupun data lokasi anggaran boleh bernilai apabila digabungkan dengan maklumat lain.
Maklumat tentang alamat IP anda terbocor, kerana itulah cara Cloudflare menghalakan anda ke pusat data tertentu. Dan saya sangat tidak bersetuju bahawa kebolehan untuk mengetahui lokasi geografi kasar seseorang bukanlah masalah privasi.
Aplikasi dan Kebimbangan Dunia Sebenar
Implikasi praktikal serangan ini berbeza-beza bergantung pada keadaan sasaran. Bagi pemberi maklumat, wartawan, atau aktivis yang beroperasi di kawasan sensitif, mengetahui lokasi kasar pun boleh menjadi masalah. Komuniti telah menyatakan bahawa teknik ini boleh menjadi sangat berguna untuk mengesan corak pergerakan dari masa ke masa, terutamanya bagi pengguna yang bergerak antara kawasan berbeza.
Strategi Pengurangan Risiko
Pengguna yang bimbang tentang privasi lokasi boleh mengambil beberapa langkah untuk melindungi diri mereka. Penyelesaian paling berkesan adalah menggunakan VPN, yang akan menjadikan lokasi cache kelihatan pada titik akhir VPN dan bukannya lokasi sebenar pengguna. Signal juga menawarkan tetapan untuk menyahaktifkan muat turun media automatik, walaupun ini hanya meningkatkan serangan dari sifar-klik kepada satu-klik.
Respons Teknikal
Signal pada mulanya menolak laporan tersebut, manakala Cloudflare menangani sebahagian daripada isu ini dengan menampal sistem mereka untuk menghalang sasaran pusat data secara langsung. Ini telah mewujudkan dinamik menarik di mana pembekal platform dan perkhidmatan CDN masing-masing menunjuk kepada satu sama lain sebagai bertanggungjawab untuk menangani kebimbangan privasi sedemikian.
Penemuan ini menyoroti cabaran berterusan dalam mengimbangi kemudahan pengguna dengan privasi dalam aplikasi pesanan moden, terutamanya apabila bergantung pada perkhidmatan infrastruktur pihak ketiga.
Rujukan: Unique 0-click deanonymization attack targeting Signal, Discord, and hundreds of platforms