سرویس های پیام رسان محبوب – مانند WhatsApp ، Signal و Telegram – بسیار ناامن هستند

WhatsApp ، Signal & Co: میلیاردها کاربر در برابر حملات حریم خصوصی آسیب پذیر هستند.

محققان دانشگاه فنی دارمشتات و دانشگاه وورزبورگ نشان می دهند که پیام رسان های مشهور تلفن همراه اطلاعات شخصی را از طریق سرویس های کشف در معرض دید قرار می دهند که به کاربران اجازه می دهد براساس شماره تلفن های دفترچه آدرس خود تماس بگیرند.

هنگام نصب یک پیام رسان تلفن همراه مانند WhatsApp ، کاربران جدید می توانند بلافاصله پیام های تماس موجود را بر اساس شماره تلفن های ذخیره شده در دستگاه خود شروع کنند. برای این اتفاق ، کاربران باید در پروسه ای به نام کشف ارتباط تلفن همراه ، به برنامه اجازه دسترسی و بارگذاری مرتب دفترچه آدرس خود را در سرورهای شرکت دهند. مطالعه اخیر توسط تیمی از محققان گروه Secure Software Systems در دانشگاه وورتسبورگ و گروه مهندسی رمزنگاری و حریم خصوصی در TU Darmstadt نشان می دهد که سرویس های کشف تماس مستقر در حال حاضر حریم خصوصی میلیاردها کاربر را به شدت تهدید می کند. محققان با استفاده از منابع بسیار اندک توانستند حملات خزنده عملی به پیام رسان های محبوب WhatsApp ، Signal و Telegram را انجام دهند.

برای ایجاد مدل های دقیق رفتار ، مهاجمان فعال هستند

برای مطالعه گسترده ، محققان 10٪ از کل شماره تلفن های تلفن همراه ایالات متحده را برای WhatsApp و 100٪ را برای Signal جستجو کردند. بدین ترتیب ، آنها قادر به جمع آوری داده های شخصی (متا) معمولاً ذخیره شده در پروفایل های کاربری پیام رسان ها ، از جمله تصاویر پروفایل ، نام های مستعار ، متن وضعیت و آخرین “آخرین بار آنلاین” بودند. داده های تجزیه و تحلیل شده نیز آمار جالبی را در مورد رفتار کاربر نشان می دهد. به عنوان مثال ، تعداد بسیار کمی از کاربران تنظیمات حریم خصوصی پیش فرض را تغییر می دهند ، که برای اکثر پیام رسان ها به هیچ وجه حریم خصوصی نیست. محققان دریافتند که حدود 50٪ از کاربران WhatsApp در ایالات متحده دارای یک عکس پروفایل عمومی و 90٪ یک متن عمومی “درباره” هستند. جالب اینجاست که 40٪ از کاربران سیگنال ، که به طور کلی می توان گفت بیشتر مربوط به حریم خصوصی است ، از واتس اپ نیز استفاده می کنند و سایر کاربران سیگنال دارای یک عکس پروفایل عمومی در WhatsApp هستند. ردیابی چنین داده هایی با گذشت زمان ، مهاجمان را قادر می سازد مدل های دقیق رفتاری را ایجاد کنند. هنگامی که داده ها در شبکه های اجتماعی و منابع داده عمومی همسان می شوند ، اشخاص ثالث همچنین می توانند پروفایل های مفصلی ایجاد کنند ، به عنوان مثال برای کاربران کلاهبرداری. برای تلگرام ، محققان دریافتند که سرویس کشف مخاطب آن اطلاعات حساس را حتی در مورد دارندگان شماره تلفن هایی که در این سرویس ثبت نشده اند ، نشان می دهد.

اینکه کدام اطلاعات در هنگام کشف مخاطب فاش شده و از طریق حملات خزنده قابل جمع آوری است ، به ارائه دهنده خدمات و تنظیمات حریم خصوصی کاربر بستگی دارد. به عنوان مثال واتس اپ و تلگرام کل آدرس آدرس کاربر را به سرورهای خود منتقل می کنند. بیشتر پیام رسان های مربوط به حریم خصوصی مانند Signal فقط مقادیر کوتاه هش رمزنگاری شده از شماره تلفن ها را انتقال می دهند یا به سخت افزار قابل اعتماد اعتماد می کنند. با این حال ، تیم تحقیقاتی نشان می دهد که با استراتژی های جدید و بهینه سازی حمله ، آنتروپی کم شماره تلفن ها مهاجمان را قادر می سازد تا شماره تلفن های مربوطه را از هش های رمزنگاری در میلی ثانیه استنباط کنند. علاوه بر این ، از آنجا که هیچ محدودیتی قابل توجه برای ثبت نام در خدمات پیام رسانی وجود ندارد ، هر شخص ثالثی می تواند تعداد زیادی حساب ایجاد کند تا بتواند با درخواست داده برای شماره تلفن های تصادفی ، اطلاعات کاربر یک پیام رسان را جستجو کند. “ما اکیداً به همه کاربران برنامه های پیام رسان توصیه می کنیم که از تنظیمات حریم خصوصی خود بازدید کنند. این در حال حاضر موثرترین محافظت در برابر حملات خزنده بررسی شده ما است. “

تأثیر نتایج تحقیق: ارائه دهندگان خدمات اقدامات امنیتی خود را بهبود می بخشند

تیم تحقیق یافته های خود را به ارائه دهندگان خدمات مربوطه گزارش دادند. در نتیجه ، WhatsApp مکانیسم های محافظتی خود را به گونه ای بهبود داده است که می توان حملات گسترده ای را تشخیص داد و Signal تعداد سالات احتمالی را برای پیچیدگی خزیدن کاهش داده است. محققان همچنین بسیاری از تکنیک های تخفیف دیگر ، از جمله روش جدید کشف تماس را پیشنهاد کردند که می تواند برای کاهش بیشتر کارایی حملات بدون تأثیر منفی بر قابلیت استفاده ، مورد استفاده قرار گیرد.