近日,安全研究人员发现一些主流的,甚至以隐私保护为卖点的即时通讯应用,包括Whatsapp、Signal和Telegram都存在重大的隐私泄露问题。
根源在于,这些应用的“联系人发现服务”使用户可以根据通讯录中的电话号码查找联系人,同时也为隐私泄露敞开了大门。
移动通讯程序的隐私爆点
当安装类似WhatsApp的移动即时通讯应用时,新用户可以立即基于存储在其设备上的电话号码开始向现有联系人发送短信。为此,用户必须授予该应用访问权限,这个所谓的联系人自动发现功能还会定期将用户的地址簿上传到公司服务器。
但是维尔茨堡大学安全软件系统小组和达姆施塔特工业大学的密码学和隐私工程小组的研究人员最近进行的一项研究表明,当前主流移动通讯应用部署的这种联系人发现服务严重威胁着数十亿用户的隐私。
仅仅动用了很少的资源,研究人员就对流行的即时通讯应用WhatsApp、Signal和Telegram实施了爬虫攻击。实验结果表明,恶意用户或黑客可以通过查询联系人发现服务中的随机电话号码来大规模收集敏感数据,而没有明显的限制。
攻击者可以建立准确的行为模型
在范围更广的研究中,研究人员向WhatsApp查询了美国所有手机号码的10%,向Signal查询了100%。因此,他们能够收集通常存储在即时通讯应用用户配置文件中的个人(元)数据,包括配置文件图片、昵称、状态文本和“上次在线”时间。
分析的数据还揭示了有关用户行为的有趣统计信息。例如,很少有用户更改默认的隐私设置,对于大多数即时通讯应用来说,这些设置根本不够“隐私友好”。
研究人员发现,在美国约有50%的WhatsApp用户拥有公开的个人资料图片,有90%公开“关于”文字。有趣的是,通常被认为更加关注隐私的Signal用户中有40%也在使用WhatsApp,更有趣的是他们在WhatsApp上都有公开的个人资料图片。
随着时间的推移跟踪此类数据,使攻击者能够建立准确的行为模型。当跨社交网络和公共数据源对数据进行匹配时,第三方也可以构建详细的配置文件,例如针对性欺诈用户。
Telegram方面,研究人员发现其联系人发现服务会公开敏感信息,甚至包括未在该服务中注册的电话号码所有者。
哪些信息会在联系人发现期间显示并可以通过爬虫攻击收集,取决于服务提供商和用户的隐私设置。例如,WhatsApp和Telegram会将用户的整个通讯簿传输到其服务器。
诸如Signal之类的更关注隐私保护的即时通讯应用只能传输电话号码的短加密哈希值或依赖于受信任的硬件。但是,研究团队表明,采用新的和经过优化的攻击策略,电话号码的低熵使攻击者能够在毫秒内从加密哈希值推断出相应的电话号码。
此外,由于没有明显的用户注册限制,因此任何第三方都可以创建大量即时通讯账户,以通过请求随机电话号码的数据来用爬虫抓取用户数据库的信息。
“我们强烈建议所有即时通讯应用的用户重新审查其隐私设置。这是目前针对我们调查的爬虫攻击的最有效保护措施。”维尔茨堡大学的 Alexandra Dmitrienko教授和达姆施塔特工业大学的 Thomas Schneider教授表示同意。
研究结果:服务提供商需要改善其安全措施
研究小组向各即时通讯服务提供商报告了他们的发现。结果,WhatsApp改进了其保护机制,从而可以检测到大规模攻击,Signal减少了可能使爬网复杂化的查询数量。
研究人员还提出了许多其他缓解技术,包括一种新的联系人发现方法,可以采用该方法来进一步降低攻击效率,而不会对可用性造成负面影响。