Преглеждайки различни класации за най-сигурните платформи за комуникация, задължително попадаме на Telegram и WhatsApp, както и ред други приложения, наредени редом до тях. Но изследователи от Техническия университет в Дармщат и Университета във Вюрцбург са на мнението, че милиардите потребители по света са в опасност, тъй като всички популярни мобилни приложения за комуникация са способни да разкриват личните данни на потребителите, чрез функцията за намиране на контакти в приложенията, на базата на номерата в телефонния указател. Как точно става това?

След инсталация на WhatsApp например, както знаем, можем инстантно да започнем кореспонденция с даден човек от нашия телефонен указател, стига и той да има същата платформа. Разбира се, за да се случи това, потребителите дават разрешение за достъп, следователно редовно техните контакти биват качени и на сървърите на компанията, предлагаща услугата.

Проучването на Secure Software Systems Group от университета във Вюрцбург и Cryptography and Privacy Engineering Group в Техническия университет в Дармщат, гласи, че използваните в момента услуги за намиране на контакти сериозно може да застраши поверителността на потребителите. Изследователите, използвайки сравнително малко ресурси, са успели да атакуват WhatsApp, Signal и Telegram, и са достигнали до извода, че хакери биха могли да съберат чувствителна информация, след като използват услугата за откриване на контакти за случайни телефонни номера.

За целта на проучването, изследователите са поискали 10% от всички мобилни телефонни номера в САЩ за WhatsApp и 100% за Signal. По този начин, те успяват да съберат данни, които обикновено се съхраняват в профилите на потребителите, като профилни снимки, псевдоними, статуси, както и “Last seen” часът. Чрез анализиране на цялата информация се достига до статистически изводи за поведението на потребителите, като например това, че много малко от тях променят настройките за поверителност. Около 50% от използващите WhatsApp в САЩ имат публична, открита профилна снимка, а 90% от тях – публична “About” секция. 40% от потребителите на Signal пък, също използват WhatsApp, където почти всеки втори също има публична профилна снимка. С течение на времето и проследяването на данни, нападателите могат да изградят точни модели на поведение, а трети страни да създадат също профили с подробна информация, така че да изглеждат истински, но да бъдат използвани за измами.

Коя информация се разкрива по време на откриването на контакт и може да се събира чрез обхождащи атаки (crawling attacks), зависи от доставчика на услуги и настройките за поверителност на потребителя. WhatsApp и Telegram например, прехвърлят цялата address book информация на потребителя на своите сървъри. Повечето privacy-concerned messenger платформи пък, прехвърлят само кратки криптографски хеш стойности на телефонните номера или разчитат на надежден хардуер. Изследователският екип обаче показва, че с новите и оптимизирани стратегии за атака, ниската ентропия на телефонните номера позволява на нападателите да изведат съответните данни от криптографските хешове в рамките на милисекунди. Освен това, тъй като няма сериозни ограничения за регистриране в платформите за комуникация, всяка трета страна може да създаде голям брой акаунти за обхождане на потребителската база данни за информация, като поиска данни за случайни телефонни номера. „Настоятелно препоръчваме на всички потребители на приложения за съобщения да преразгледат настройките си за поверителност. Понастоящем това е най-ефективната защита срещу потенциалните атаки,” казват проф. Александра Дмитриенко от Университета във Вюрцбург и проф. Томас Шнайдер от ТУ Дармщат.

Резултатите от изследването ще бъдат представени в доклада “All the Numbers are US: Large-scale Abuse of Contact Discovery in Mobile Messengers” през февруари 2021 г. по време на голямата конференция за ИТ сигурност NDSS. Междувременно, екипът е докладвал своите открития на WhatsApp, които са повишили сигурността си и би следвало атаките в големи мащаби да могат да бъдат уловени. От Signal пък са намалили броя на възможните заявки, за да затруднят потенциална crawling атака.