Исследование безопасности аккаунтов в Telegram, Signal и WhatsApp. TUDA, JMU. Германия

Как Telegram, Signal и WhatsApp угрожают конфиденциальности? Миллиарды пользователей уязвимы для атак

Исследователи из Дармштадтского технического университета (TUDA) и Вюрцбургского университета (JMU) показывают, что популярные мобильные мессенджеры раскрывают личные данные через службы обнаружения, которые позволяют пользователям находить контакты по телефонным номерам из их адресной книги.

Службы обмена сообщениями не безопасны с точки зрения конфиденциальности.
При установке мобильного мессенджера, такого как WhatsApp, новые пользователи могут мгновенно отправлять текстовые сообщения существующим контактам на основе телефонных номеров, хранящихся на их устройстве. Чтобы это осуществить, пользователи должны предоставить приложению разрешение на доступ и регулярную загрузку своей адресной книги на серверы компании в процессе, называемом обнаружением мобильных контактов.

Недавнее исследование группы исследователей из Группы безопасных программных систем при Вюрцбургском университете и Группа инженерии криптографии и конфиденциальности в Техническом университете Дармштадта показывает, что развернутые в настоящее время службы обнаружения контактов серьезно угрожают конфиденциальности миллиардов пользователей. Используя очень немного ресурсов, исследователи смогли провести практические атаки сканирования (так называемый парсинг, софта для этого полно в интернете как бесплатно, так и за небольшую плату) на популярные мессенджеры WhatsApp, Signal и Telegram. Результаты экспериментов показывают, что злоумышленники или хакеры могут собирать конфиденциальные данные в больших масштабах и без заметных ограничений, запрашивая у служб обнаружения контактов случайные номера телефонов.


Злоумышленники могут строить точные модели поведения
Для масштабного исследования специалисты проверили 10% всех номеров мобильных телефонов в США для WhatsApp и 100% для Signal. Таким образом, они могли собирать личные (мета) данные, обычно хранящиеся в профилях пользователей мессенджеров, включая изображения профиля, псевдонимы, тексты статуса и время «последнего онлайн».

Проанализированные данные также показывают интересную статистику о поведении пользователей. Например, очень немногие пользователи изменяют настройки конфиденциальности по умолчанию, которые для большинства мессенджеров вообще не обеспечивают конфиденциальность. Исследователи обнаружили, что около 50% пользователей WhatsApp в США имеют общедоступное изображение профиля, а 90% - общедоступный текст «О себе». Интересно, что 40% пользователей Signal, которые, как можно предположить, больше озабочены конфиденциальностью в целом, также используют WhatsApp, и у всех остальных пользователей Signal есть общедоступное изображение профиля в WhatsApp.

Отслеживание таких данных во времени позволяет злоумышленникам создавать точные модели поведения. Когда данные сопоставляются в социальных сетях и общедоступных источниках данных, третьи стороны также могут создавать подробные профили, например, для обмана пользователей. В случае Telegram исследователи обнаружили, что его служба обнаружения контактов предоставляет большое количество потенциальных контактов для владельцев телефонных номеров, которые даже не зарегистрированы в этой службе.


Какая информация раскрывается во время обнаружения контактов и может быть собрана с помощью атак сканирования, зависит от поставщика услуг и настроек конфиденциальности пользователя. Например, WhatsApp и Telegram передают всю адресную книгу пользователя на свои серверы. Мессенджеры, которые больше заботятся о конфиденциальности, такие как Signal, передают только короткие криптографические хеш-значения телефонных номеров или полагаются на надежное оборудование.

Однако исследовательская группа доказала, что с помощью новых и оптимизированных стратегий атаки низкая энтропия телефонных номеров позволяет злоумышленникам выводить соответствующие номера телефонов из криптографических хешей за миллисекунды. Более того, поскольку нет никаких заметных ограничений для регистрации в службах обмена сообщениями, любая третья сторона может создать большое количество учетных записей для сканирования пользовательской базы данных мессенджера для получения информации, запрашивая данные о случайных телефонных номерах.

Мы настоятельно рекомендуем всем пользователям приложений для обмена сообщениями пересмотреть свои настройки конфиденциальности. В настоящее время это наиболее эффективная защита от исследованных нами атак сканирования", - соглашаются профессор Александра Дмитриенко (Университет Вюрцбурга) и профессор Томас Шнайдер (Технический университет Дармштадта).

Влияние результатов исследования: поставщики услуг улучшают защиту
Исследовательская группа сообщила о своих выводах соответствующим поставщикам услуг. В результате WhatsApp улучшил свои механизмы защиты, чтобы можно было обнаруживать крупномасштабные атаки, а Signal сократил количество возможных запросов, чтобы усложнить сканирование. Исследователи также предложили много других методов защиты, включая новый метод обнаружения контактов, который можно было бы использовать для дальнейшего снижения эффективности атак без отрицательного воздействия на удобство использования.

Все результаты резюмированы на веб-сайте и описаны в документе «Все цифры - США: крупномасштабное злоупотребление обнаружением контактов в мобильных мессенджерах», который будет представлен в феврале 2021 года на 28-м ежегодном симпозиуме по безопасности сетей и распределенных систем (NDSS), ведущей конференции по ИТ-безопасности. Вы же можете уже сейчас ознакомится с ними, но пока только на английском языке.
Источник

Надо по умолчанию профиля закрытыми делать. Иначе это бесполезно. Пользователи не могут, корпорации не хотят)