Aplicațiile de mesagerie mobilă expun miliarde de utilizatori la pierderea confidențialității

Aplicațiile de mesagerie mobilă expun date personale prin intermediul serviciilor de descoperire, care permit utilizatorilor să găsească date de contact pe baza numerelor de telefon din agenda lor, potrivit cercetătorilor.

confidențialitatea mesagerilor mobili

Când instalează o aplicație de mesagerie mobile, precum WhatsApp, noii utilizatori pot începe instantaneu să trimită mesaje text la contactele existente, pe baza numerelor de telefon stocate pe dispozitivul lor. Pentru ca acest lucru să se întâmple, utilizatorii trebuie să acorde aplicației permisiunea de a accesa și încărca în mod regulat agenda de adrese pe serverele companiei, într-un proces numit descoperire de contacte mobile.

Un studiu recent realizat de o echipă de cercetători de la Secure Software Systems Group de la Universitatea din Würzburg și de la Cryptography and Privacy Engineering Group de la TU Darmstadt, arată că în prezent serviciile de descoperire a contactelor amenință confidențialitatea a miliarde de utilizatori.

Folosind foarte puține resurse, cercetătorii au reușit să efectueze atacuri practice cu crawlere asupra aplicațiilor de mesagerie mobilă populare WhatsApp, Signal și Telegram. Crawler-ul este un motor de căutare bot care descarcă și indexează conținut din Internet.

Rezultatele experimentelor demonstrează că hackerii pot colecta date sensibile pe scară largă și fără restricții deosebite, prin interogarea serviciilor de descoperire a contactelor pentru numere de telefon aleatorii.

Atacatorii pot să construiască modele precise de comportament

Pentru acest studiu amplu, cercetătorii au lansat o interogare la 10% din numerele de telefon mobil din SUA pentru WhatsApp și 100% pentru Signal. Astfel, au reușit să adune metadate personale stocate în mod obișnuit în profilurile utilizatorilor, inclusiv imagini de profil, porecle, texte de stare și ultima conectare online.

Datele analizate prezintă statistici interesante despre comportamentul utilizatorilor. De exemplu, foarte puțini utilizatori schimbă setările implicite de confidențialitate.

Cercetătorii au descoperit că aproximativ 50% dintre utilizatorii WhatsApp din SUA au o fotografie de profil publică și 90% un text public „Despre”. Interesant este că 40% dintre utilizatorii aplicației Signal, despre care se presupune că sunt mai preocupați de confidențialitate în general, folosesc și WhatsApp, pe care au o fotografie de profil publică.

Urmărirea acestor date în timp permite atacatorilor să construiască modele de comportament precise. Atunci când datele sunt potrivite între rețelele sociale și sursele de date publice, hackerii pot să creeze profiluri detaliate.

În cazul aplicației Telegram, cercetătorii au descoperit că serviciul său de descoperire a contactelor expune informații sensibile chiar și despre proprietarii de numere de telefon care nu sunt înregistrate în aplicație.

Informațiile care sunt dezvăluite în timpul descoperirii contactelor și care pot fi colectate prin atacuri cu crawlere depind de furnizorul de servicii și de setările de confidențialitate ale utilizatorului. WhatsApp și Telegram transmit întreaga agendă a utilizatorului către serverele lor, însă Signal transferă doar valori hash criptografice scurte ale numerelor de telefon, sau se bazează pe hardware de încredere. Cu toate acestea, cu strategii de atac noi și optimizate, entropia redusă a numerelor de telefon le permite atacatorilor să deducă numerele de telefon corespunzătoare din hashurile criptografice în câteva milisecunde.

Mai mult, din moment ce nu există restricții deosebite pentru crearea de conturi în serviciile de mesagerie, orice terță parte poate crea un număr mare de conturi pentru a accesa cu crawlere bazele de date cu utilizatori ale aplicațiilor de mesagerie, solicitând date pentru numere de telefon aleatorii.

„Îi sfătuim pe toți utilizatorii de aplicații de mesagerie să își revizuiască setările de confidențialitate. Aceasta este în prezent cea mai eficientă protecție împotriva atacurilor cu crawling investigate de noi”, au declarat cercetătorii.

Impactul rezultatelor cercetării: furnizorii de servicii își îmbunătățesc măsurile de securitate

Echipa de cercetare a raportat constatările sale furnizorilor de servicii de mesagerie. Drept urmare, WhatsApp și-a îmbunătățit mecanismele de protecție, astfel încât să poată fi detectate atacuri pe scară largă, iar Signal a redus numărul de interogări posibile, pentru a face mai dificilă accesarea cu crawlere.

Cercetătorii au propus multe alte tehnici de atenuare, inclusiv o nouă metodă de descoperire a contactelor, care ar putea fi adoptată pentru a reduce în continuare eficiența atacurilor fără a afecta negativ experiența de utilizare. 

Sursa: www.helpnetsecurity.com