Vulnerabilidade expõe localização exata de usuários do Discord e Signal

Uma vulnerabilidade denominada “0-click deanonymization” (desanonimização sem interação) foi descoberta pelo jovem pesquisador de segurança de 15 anos conhecido como “daniel”. Essa falha permite que invasores identifiquem a localização aproximada de um usuário dentro de um raio de cerca de 400 quilômetros, explorando o comportamento de Content Delivery Networks (CDNs), como o Cloudflare.

O ataque utiliza informações enviadas pelos CDNs, como o código do data center mais próximo, que é incluído nas respostas HTTP ao acessar recursos armazenados em cache. Com base nessas informações, é possível deduzir a localização física do usuário a partir do data center mais próximo que processou os dados. Aplicativos como Signal e Discord são particularmente vulneráveis, pois utilizam CDNs para entrega de conteúdos, como imagens e anexos.

No Signal, por exemplo, o problema ocorre quando um anexo é enviado e o dispositivo do destinatário faz o download automático do arquivo, acionando o cache do data center local. Já no Discord, a vulnerabilidade pode ser explorada por meio de solicitações de amizade, uma vez que as notificações incluem o avatar do usuário armazenado no CDN.

Embora o Cloudflare tenha corrigido a falha que permitia direcionar solicitações para datacenters específicos, o ataque ainda pode ser executado com o uso de VPNs, redirecionando conexões por diferentes locais. Tanto o Signal quanto o Discord minimizam a gravidade do problema, alegando que a mitigação do ataque seria responsabilidade dos usuários ou da infraestrutura dos CDNs.

A falha representa um risco para ativistas, jornalistas e outras pessoas que dependem de aplicativos como Signal para preservar sua privacidade.