WhatsApp, Signal & Co: миллиарды пользователей уязвимы для атак на конфиденциальность.
Исследователи из Технического университета Дармштадта и Университета Вюрцбурга показывают, что популярные мобильные мессенджеры раскрывают личные данные через службы обнаружения, которые позволяют пользователям находить контакты по телефонным номерам из их адресной книги.
При установке мобильного мессенджера, такого как WhatsApp, новые пользователи могут мгновенно отправлять текстовые сообщения существующим контактам на основе телефонных номеров, хранящихся на их устройстве. Чтобы это произошло, пользователи должны предоставить приложению разрешение на доступ и регулярную загрузку своей адресной книги на серверы компании в процессе, называемом обнаружением мобильных контактов. Недавнее исследование, проведенное группой исследователей из Группы безопасных программных систем Университета Вюрцбурга и Группы разработки криптографии и конфиденциальности в Техническом университете Дармштадта, показывает, что развернутые в настоящее время службы обнаружения контактов серьезно угрожают конфиденциальности миллиардов пользователей. Используя очень мало ресурсов, исследователи смогли провести практические атаки сканирования на популярные мессенджеры WhatsApp, Signal и Telegram. Результаты экспериментов демонстрируют, что злоумышленники или хакеры могут собирать конфиденциальные данные в больших масштабах и без значительных ограничений, запрашивая у служб обнаружения контактов случайные номера телефонов.
Злоумышленники могут строить точные модели поведения
Для обширного исследования исследователи запросили 10% всех номеров мобильных телефонов в США для WhatsApp и 100% для Signal. Таким образом, они могли собирать личные (мета) данные, обычно хранящиеся в профилях пользователей мессенджеров, включая изображения профиля, псевдонимы, тексты статуса и время «последнего онлайн». Анализируемые данные также показывают интересную статистику о поведении пользователей. Например, очень немногие пользователи изменяют настройки конфиденциальности по умолчанию, которые для большинства мессенджеров вообще не обеспечивают конфиденциальность. Исследователи обнаружили, что около 50% пользователей WhatsApp в США имеют общедоступную фотографию профиля, а 90% – общедоступный текст «О себе». Интересно, что 40% пользователей Signal, которые, как можно предположить, больше озабочены конфиденциальностью в целом, также используют WhatsApp, и у всех остальных пользователей Signal есть общедоступное изображение профиля в WhatsApp. Отслеживание таких данных с течением времени позволяет злоумышленникам строить точные модели поведения. Когда данные сопоставляются в социальных сетях и общедоступных источниках данных, третьи стороны также могут создавать подробные профили, например, для обмана пользователей. В случае Telegram исследователи обнаружили, что его служба обнаружения контактов раскрывает конфиденциальную информацию даже о владельцах телефонных номеров, которые не зарегистрированы в службе.
Какая информация раскрывается во время обнаружения контактов и может быть собрана с помощью атак сканирования, зависит от поставщика услуг и настроек конфиденциальности пользователя. Например, WhatsApp и Telegram передают всю адресную книгу пользователя на свои серверы. Мессенджеры, которые больше заботятся о конфиденциальности, такие как Signal, передают только короткие криптографические хеш-значения телефонных номеров или полагаются на надежное оборудование. Однако исследовательская группа показывает, что с помощью новых и оптимизированных стратегий атаки низкая энтропия телефонных номеров позволяет злоумышленникам вывести соответствующие телефонные номера из криптографических хэшей за миллисекунды. Более того, поскольку нет никаких заметных ограничений для регистрации в службах обмена сообщениями, любая третья сторона может создать большое количество учетных записей для сканирования пользовательской базы данных мессенджера для получения информации, запрашивая данные для случайных телефонных номеров. «Мы настоятельно рекомендуем всем пользователям приложений для обмена сообщениями пересмотреть свои настройки конфиденциальности. В настоящее время это наиболее эффективная защита от исследованных нами атак сканирования », – соглашаются профессор Александра Дмитриенко (Университет Вюрцбурга) и профессор Томас Шнайдер (Технический университет Дармштадта).
Влияние результатов исследования: поставщики услуг улучшают меры безопасности
Исследовательская группа сообщила о своих выводах соответствующим поставщикам услуг. В результате WhatsApp улучшил свои механизмы защиты, чтобы можно было обнаруживать крупномасштабные атаки, а Signal сократил количество возможных запросов, чтобы усложнить сканирование. Исследователи также предложили множество других методов смягчения последствий, в том числе новый метод обнаружения контактов, который можно было бы использовать для дальнейшего снижения эффективности атак без негативного воздействия на удобство использования.
Все результаты описаны в документе Кристофа Хагена, Кристиана Вайнерта, Кристофа Сенднера, Александры Дмитриенко, Томаса Шнайдера «Все цифры – США: крупномасштабное злоупотребление обнаружением контактов в мобильных мессенджерах», которое будет представлено в феврале 2021 года на сайте 28. Ежегодный симпозиум по безопасности сетей и распределенных систем (NDSS), ведущая конференция по безопасности ИТ.
PDF
