Populárne četovacie aplikácie sú v ohrození, ktorá si vedie najhoršie?

Tím výskumníkov z RestorePrivacy zistil, že populárne četovacie aplikácie ako WhatsApp, Signal a Threema obsahujú zraniteľnosť, ktorú môžu hekeri zneužiť na určenie polohy používateľa s presnosťou viac ako 80 %.

Tento konkrétny čin zisťovania polohy sa nazýva útok načasovania, pri ktorom sa útočník pokúša odvodiť polohu používateľa meraním času, dokým trvá doručenie správy. Pri tejto informácii sa spolieha na stav doručenia správy. Používatelia iOS a Android sú rovnako zraniteľní.

To môže fungovať dobre, pretože internetové siete a infraštruktúra serverov aplikácií na odosielanie správ majú špecifické fyzické vlastnosti, ktoré vedú k štandardným signálovým dráham. Výsledkom je, že oznámenia o stave doručenia majú predvídateľné oneskorenia na základe polohy používateľa.

Pre presnejšie miesta môže útočník vykonať tento úkon viackrát a pripraviť súbor údajov na určenie polohy medzi súborom rôznych možných miest, ako je dom obete, práca a podobne. Aby tento útok fungoval, musí medzi útočníkom a obeťou prebehnúť aspoň krátka konverzácia práve na jednej z týchto četovacích aplikácií.

V skutočnosti sa zdá, že Signal a Threema, ktoré sa prezentujú ako aplikácie zamerané na súkromie a zabezpečenie, sú náchylnejšie na tieto útoky v tom zmysle, že útok načasovania možno použiť na odvodenie polohy používateľov aplikácie Signal s presnosťou 82 % a používateľov Threemy s presnosťou 80 %. V prípade WhatsAppu je toto číslo 74 %.

Výskumníci zistili, že útok pravdepodobne nebude fungovať so zariadeniami, ktoré sú pri prijatí správy nečinné. Preto navrhli, aby vývojári zobrazovali odosielateľom náhodné časy potvrdenia doručenia. Vtedy by bol útok na načasovanie zbytočný a neovplyvnilo by to praktickú užitočnosť oznámení o doručení.

Používatelia, ktorí sa obávajú o súkromie o polohe, môžu skúsiť vypnúť funkciu upozornenia na doručenie alebo použiť VPN na zvýšenie latencie alebo oneskorenia.