Notebookcheck Logo

Słabe zabezpieczenia w WhatsApp i Signal umożliwiają atakującym o niskich umiejętnościach śledzenie użytkowników

Śledzenie WhatsApp (symboliczny obraz utworzony za pomocą Stable Diffusion)
Śledzenie WhatsApp (symboliczny obraz utworzony za pomocą Stable Diffusion)
Naukowcy z Uniwersytetu Wiedeńskiego odkryli luki w WhatsApp i Signal, które umożliwiają niewykrywalne śledzenie użytkowników poprzez pomiary czasu w obie strony (RTT). Prosty program dostępny obecnie na GitHub pokazuje, jak łatwo można wykorzystać tę słabość.
Security Science Software Hack / Data Breach Social Media

Grupa badaczy z Uniwersytetu Wiedeńskiego znalazła niewielką, ale poważną lukę w zabezpieczeniach w sposobie działania usług przesyłania wiadomości szyfrowanych end-to-end (E2EE). Badanie, pierwotnie opublikowane 17 listopada 2024 r., pod tytułem "Careless Whisper: Wykorzystywanie cichych pokwitowań doręczenia do monitorowania użytkowników mobilnych komunikatorów internetowych", podkreśla możliwość śledzenia urządzeń przy użyciu danych Round-Trip Time (RTT) po zainstalowaniu WhatsApp lub Signal.

W serwisie GitHub opublikowano program, który może automatycznie wykorzystać tę lukę w WhatsApp. Chociaż udostępnienie takiego narzędzia budzi wątpliwości etyczne, jego celem jest wywarcie presji na WhatsApp, aby zajął się luką w zabezpieczeniach i poprawił ochronę prywatności użytkowników.

Okazuje się, że podstawowa idea stojąca za tym programem jest zaskakująco prosta. Program śledzący wysyła wiadomości reakcyjne do nieistniejących identyfikatorów wiadomości. Urządzenie docelowe nadal odpowiada potwierdzeniem dostawy. Ta reakcja, niewidoczna dla użytkownika, ujawnia czas wymagany do wysłania i odebrania zmanipulowanego żądania - RTT.

Chociaż same te punkty danych nie ujawniają natychmiastowej lokalizacji, mogą dostarczyć cennych informacji, gdy są gromadzone przez dłuższy czas. Wzorce w danych RTT mogą wskazywać, kiedy urządzenie jest aktywnie używane lub w trybie czuwania. Można również wywnioskować typ połączenia sieciowego, takiego jak Wi-Fi lub komórkowe. Analizując te wzorce aktywności na przestrzeni godzin lub dni, atakujący mogą wyciągnąć wnioski na temat zachowania użytkownika. Co więcej, ciągłe żądania zużywają baterię i dane mobilne na zaatakowanym smartfonie.

Obecnie użytkownicy mają ograniczone możliwości obrony przed tą metodą śledzenia. Na smartfonach nie ma powiadomień ostrzegających użytkowników o takim monitorowaniu. Nie można uzyskać numeru telefonu atakującego, co uniemożliwia jego zablokowanie. Ani Signal, ani WhatsApp nie oferują obecnie opcji wyłączenia potwierdzeń dostawy. Drastyczne rozwiązanie jest obecnie jedyną opcją. Proszę usunąć ze swojego urządzenia wszystkie usługi szyfrowania wiadomości typu end-to-end.

Powiązane artykuły

Please share our article, every link counts!
Mail Logo
> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2025 12 > Słabe zabezpieczenia w WhatsApp i Signal umożliwiają atakującym o niskich umiejętnościach śledzenie użytkowników
Marc Herter, 2025-12-11 (Update: 2025-12-11)