對於 WhatsApp 和 Signal 用戶來說,壞消息是:安全研究人員發現了一個漏洞,該漏洞會損害他們的隱私,導致他們的位置被確定。他們有發表他們在網路和分散式系統安全 (NDSS) 研討會上的工作成果。該漏洞也影響加密即時通訊應用程式 Threema。
原則如下:駭客會向受害者發送訊息,並測量接收訊息已成功傳遞的通知所需的時間。事實上,行動互聯網網路和即時通訊應用伺服器具有特定的特徵,這些特徵在訊息和通知的傳輸時間上產生了某種形式的標準。因此可以根據使用者的位置來預測傳輸延遲。
因此,駭客可以透過向已知位置的人發送訊息來進行初步測試,以計算伺服器的位置,然後根據位置計算延遲。然而,需要一個漫長的初步階段和大量的測試來計算盡可能多的位置/延遲對。一旦這個階段完成,就可以計算受害者的位置,在這種情況下是他們的國家、他們的城市,甚至是他們的鄰居。
根據研究人員的結果,不同位置的分類準確率如下:
- 訊號為 82%。
- 80% 為Threema。
- 74% 使用 WhatsApp。
因此,WhatsApp 用戶的暴露程度比 Signal 用戶少一些,但仍然容易受到攻擊。全球有 20 億,而 Signal 為 4000 萬,Threema 為 1000 萬。這項發現顯然提出了隱私問題,因為這些服務誇耀其安全和加密的通訊。另一方面,虛擬專用網路的使用使得駭客的措施完全無關緊要。 IM 提供者的解決方案是引入隨機延遲(例如 1 到 20 秒之間)來向發送者發送接收確認。
目前,只有 Threema 做出了反應,表明他們正在研究隨機延遲的概念,並且這可能會在應用程式的未來版本中實現。該公司指出,該漏洞的利用存在疑問。事實上,應用程式並不是一直打開的,在背景發送通知可能會導致幾秒鐘的延遲。
同時,如果應用程式允許,用戶仍然可以停用發送收據。
來源 : 恢復隱私
