移动通讯程序使数十亿用户遭受隐私攻击

研究人员称,流行的移动通讯程序通过发现服务公开个人数据,该服务使用户可以根据通讯录中的电话号码查找联系人。

移动通讯程序隐私

安装像这样的移动Messenger时 WhatsApp的,新用户可以立即基于其设备上存储的电话号码向现有联系人发送短信。为此,用户必须授予该应用访问权限,并在称为移动联系人发现的过程中定期将其通讯录上传到公司服务器。

维尔茨堡大学安全软件系统小组和达姆施塔特工业大学的密码学和隐私工程小组的一组研究人员最近进行的一项研究表明,当前部署的联系发现服务严重威胁着数十亿用户的隐私。

利用很少的资源,研究人员能够对流行的Messenger WhatsApp的,Signal和Telegram进行实际的爬网攻击。实验结果表明,恶意用户或黑客可以通过查询联系人发现服务中的随机电话号码来大规模收集敏感数据,而不会受到明显限制。

攻击者可以建立准确的行为模型

在广泛的研究中,研究人员向WhatsApp查询了美国所有手机号码的10%,向其查询了100% 信号。因此,他们能够收集通常存储在Messenger中的个人(元)数据’用户个人资料,包括个人资料图片,昵称,状态文本和“last online” time.

分析的数据还揭示了有关用户行为的有趣统计信息。例如,很少有用户更改默认的隐私设置,对于大多数Messenger来说,这些设置根本不是隐私友好的。

研究人员发现,在美国,约有50%的WhatsApp用户拥有公开的个人资料图片,而有90%的公众拥有“About”文本。有趣的是,一般认为40%的Signal用户通常更关注隐私,他们也都在使用WhatsApp,而所有其他Signal用户在WhatsApp上都有公开的个人资料图片。

随着时间的推移跟踪此类数据使攻击者能够建立准确的行为模型。当跨社交网络和公共数据源对数据进行匹配时,第三方也可以构建详细的配置文件,例如针对欺诈用户。

对于 电报,研究人员发现,其联系人发现服务甚至会公开敏感信息,即使有关未在该服务中注册的电话号码所有者。

哪些信息会在联系人发现期间显示,并且可以通过爬网攻击收集,取决于服务提供商和用户的隐私设置。例如,WhatsApp和Telegram可以传输用户’的整个地址簿到他们的服务器。

诸如信号之类的更多与隐私相关的Messenger只能传递电话号码的短加密哈希值或依赖可信任的硬件。但是,研究团队表明,采用新的和经过优化的攻击策略,电话号码的低熵使得攻击者能够在几毫秒内从加密哈希值中推断出相应的电话号码。

而且,由于注册消息传递服务没有显着限制,因此任何第三方都可以创建大量帐户,以通过请求随机电话号码的数据来爬网Messenger的用户数据库以获取信息。

“我们强烈建议Messenger应用的所有用户重新访问其隐私设置。这是目前针对我们调查的抓取攻击最有效的防护措施,”同意Alexandra Dmitrienko教授( 维尔茨堡大学)和Thomas Schneider教授(达姆施塔特工业大学 )。

研究结果的影响:服务提供商改善其安全措施

研究小组向各自的服务提供商报告了他们的发现。结果,WhatsApp改进了其保护机制,从而可以检测到大规模攻击,而Signal减少了可能使爬网复杂化的查询数量。

研究人员还提出了许多其他缓解技术,包括一种新的联系人发现方法,可以采用该方法来进一步降低攻击效率,而不会对可用性造成负面影响。

更新:美国东部时间9月19日,星期六,上午9:15

电报与我们联系,提供以下报价:

“在这项研究中,美国的每个电话号码都是从Signal那里刮下来的。从WhatsApp刮掉了超过5000万。仅从Telegram刮掉了10万,这是有可能的,因为它没有触发我们的防御。在这种情况下,研究人员只能导入其联系人列表,因为很少有数字(0.9%)与帐户相关联,”Telegram的发言人Remi Vaughn告诉Help Net Security。

“Telegram中的联系人导入使用可基于多种因素做出响应的算法进行分析,并在适当时阻止导入。实际攻击的目标是Telegram分布更广泛的区域,并使用现有的电话数据库来建立更多的连接。该算法旨在检测到这种情况,并会在仅20-100次联系后阻止导入,” he concluded.

分享这个