Notebookcheck Logo

Слабая защита в WhatsApp и Signal позволяет низкоквалифицированным злоумышленникам отслеживать пользователей

Отслеживание WhatsApp (символическое изображение, созданное с помощью Stable Diffusion)
Отслеживание WhatsApp (символическое изображение, созданное с помощью Stable Diffusion)
Исследователи из Венского университета обнаружили уязвимости в WhatsApp и Signal, которые позволяют незаметно отслеживать пользователей с помощью измерения времени в пути (RTT). Простая программа, доступная сейчас на GitHub, демонстрирует, как легко можно использовать эту слабость.
безопасность Наука Софт Hack / Data Breach Social Media

Группа исследователей из Венского Университета обнаружила небольшую, но серьезную брешь в системе безопасности в способе работы служб обмена сообщениями со сквозным шифрованием (E2EE). Исследование, первоначально опубликованное 17 ноября 2024 года под названием "Неосторожный шепот: Эксплуатация квитанций о молчаливой доставке для слежки за пользователями в мобильных мессенджерах", подчеркивает возможность слежения за устройствами с помощью данных Round-Trip Time (RTT) при установке WhatsApp или Signal.

На GitHub была опубликована программа, которая может автоматически использовать эту уязвимость в WhatsApp. Хотя предоставление такого инструмента вызывает этические сомнения, его цель - оказать давление на WhatsApp, чтобы заставить его устранить брешь в безопасности и улучшить защиту конфиденциальности пользователей.

Оказывается, основная идея этой программы удивительно проста. Следящий отправляет реактивные сообщения на несуществующие идентификаторы сообщений. Целевое устройство все равно отвечает на него квитанцией о доставке. Эта реакция, невидимая для пользователя, показывает время, необходимое для отправки и получения манипулируемого запроса - RTT.

Хотя сами по себе эти данные не позволяют сразу определить местоположение, они могут дать ценные сведения, если собирать их в течение длительного времени. Закономерности в данных RTT могут указывать на то, когда устройство активно используется или находится в режиме ожидания. Также можно определить тип сетевого соединения, например, Wi-Fi или сотовая связь. Анализируя эти паттерны активности в течение нескольких часов или дней, злоумышленники могут сделать выводы о поведении пользователя. Кроме того, постоянные запросы расходуют заряд батареи и мобильные данные на пострадавшем смартфоне.

В настоящее время пользователи имеют ограниченные возможности защиты от этого метода слежения. На смартфонах нет уведомлений, предупреждающих пользователей о таком мониторинге. Номер телефона злоумышленника невозможно узнать, что делает невозможным его блокировку. Ни Signal, ни WhatsApp в настоящее время не предлагают возможности отключить квитанции о доставке. Радикальное решение - единственный вариант на данный момент. Удаление с Вашего устройства всех затронутых служб обмена сообщениями со сквозным шифрованием.

Ещё по теме

Этот важный материал точно понравится твоим друзьям в социальных сетях!
Mail Logo
'
> Обзоры Ноутбуков, Смартфонов, Планшетов. Тесты и Новости > Новости > Архив новостей > Архив новостей за 2025 год, 12 месяц > Слабая защита в WhatsApp и Signal позволяет низкоквалифицированным злоумышленникам отслеживать пользователей
Marc Herter, 2025-12-11 (Update: 2025-12-11)