最近,安全研究人员发现了一些以隐私保护为卖点的主流即时通信应用,包括Whatsapp、Signal和Telegram隐私泄露存在重大问题。
根本原因是这些应用程序“联系人发现服务”用户可以根据通讯录中的电话号码找到联系人,同时也为隐私泄露打开了大门。
移动通信程序的隐私爆炸点
当安装类似WhatsApp在移动即时通信应用程序中,新用户可以立即根据存储在设备上的电话号码向现有联系人发送短信。为此,用户必须授予应用程序访问权限,所谓的联系人自动发现功能将定期将用户的地址簿上传到公司服务器。
然而,维尔茨堡大学安全软件系统小组和达姆斯塔特工业大学密码学和隐私工程小组的研究人员最近的一项研究表明,主流移动通信应用程序部署的联系人发现,该服务严重威胁着数十亿用户的隐私。
研究人员只使用了很少的资源来实现流行的即时通信应用WhatsApp、Signal和Telegram爬虫攻击。实验结果表明,恶意用户或黑客可以在没有明显限制的情况下,通过查询联系人找到服务中的随机电话号码,大规模收集敏感数据。
攻击者可以建立准确的行为模型
在更广泛的研究中,研究人员向WhatsApp查询美国所有手机号码的10%,向Signal查询了100%。因此,他们可以收集通常存储在即时通信应用程序用户配置文件中的个人(元)数据,包括配置文件图片、昵称、状态文本和“上次在线”时间。
分析数据还揭示了有趣的用户行为统计信息。例如,很少有用户改变默认的隐私设置,这对大多数即时通信应用程序来说是不够的“隐私友好”。
研究人员发现,大约50%的美国人WhatsApp用户有90%的公开个人资料图片“关于”文字。有趣的是,通常被认为更关注隐私Signal40%的用户也在使用WhatsApp,他们在这里更有趣WhatsApp有公开的个人资料图片。
随着时间的推移跟踪这些数据,攻击者可以建立准确的行为模型。当跨社交网络和公共数据源匹配数据时,第三方还可以构建详细的配置文件,如针对性欺诈用户。
Telegram研究人员发现,他们的联系人发现服务将披露敏感信息,甚至包括未在服务中注册的电话号码所有者。
根据服务提供商和用户的隐私设置,在联系人发现期间将显示和收集哪些信息。WhatsApp和Telegram将用户的整个通讯簿传输到其服务器。
诸如Signal更注重隐私保护的即时通信应用程序只能传输电话号码的短加密哈希值或依赖于值得信赖的硬件。然而,研究小组表明,电话号码的低熵使攻击者能够在毫秒内从加密哈希值中推断出相应的电话号码。
此外,由于没有明显的用户注册限制,任何第三方都可以通过要求随机电话号码的数据,创建大量的即时通讯账户,用爬虫捕获用户数据库的信息。
“我们强烈建议所有即时通信应用程序用户重新审查其隐私设置。这是目前我们调查的爬虫攻击最有效的保护措施。”维尔茨堡大学的 Alexandra Dmitrienko 教授和达姆施塔特工业大学Thomas Schneider教授同意了。
研究结果:服务提供商需要改进其安全措施
研究小组向即时通信服务提供商报告了他们的发现。WhatsApp大规模攻击可以通过改进其保护机制来检测,Signal减少可能使爬网复杂化的查询数量。
研究人员还提出了许多其他缓解技术,包括一种新的联系人发现方法,可以进一步降低攻击效率,而不会对可用性产生负面影响。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更多的好文章