Abusing WebRTC to Reveal Coarse Location Data in Signal

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
1. BYLA luka wprowadzona w implementacji WebRTC, ktora umozliwiala zlokalizowanie mniej wiecej usera, z dokladnoscia do okolo 400 mil (pod pewnymi warunkami, jesli normalny byl*)
2. Nowa wersja Signala juz nie posiada tej mozliwosci

Opis bledu:

* - nie pretenduje do normalnosci. Ale zakladam ze uzytkwnicy Signla rowniez sa nie do konca "normalni", przyjmujac oczywiscie dzisiejsze standardy gdzie: nie mam nic do ukrycia, oto zawartosc moich majtek jest pogladem czesto wyrazanym. Przed atakiem zapobiega oczywiscie korzystanie z VPN. Z drugiej strony na ogol VPN powoduje korzystanie z ich VPNow wiec zamiast cos wyciekac przez Signala - podaje sie to dostawcy VPN na talerzu. Pelna swobode daje Invizible Pro w podejsciu z rootem. Podejcie przez VPN powoduje niemoznosc rownoczesnego korzystania z VPN, a podejcie przez proxy kloci sie dosc intensywnie z dzialaniem VPN.
Co by tu jeszcze... acha: problem z lokalizacja przez WebRTC byl widoczny bez zadnych specjalistycznych narzedzi... mozna to bylo zaobserwowac "domowym" sposobem, np. nie dalo sie korzystac poprawnie z Signala przy jednoczesnym korzystaniu z Prvate Location lub FakeGPS ustawionymi na zupelnie inna lokacje.
 
Do góry