即時通訊應用的這個“命根子”讓數十億用戶面臨隱私攻擊
近日,安全研究人員發現一些主流的,甚至以隱私保護為賣點的即時通訊應用,包括Whatsapp、Signal和Telegram都存在重大的隱私泄露問題。
根源在于,這些應用的“聯系人發現服務”使用戶可以根據通訊錄中的電話號碼查找聯系人,同時也為隱私泄露敞開了大門。
移動通訊程序的隱私爆點
當安裝類似WhatsApp的移動即時通訊應用時,新用戶可以立即基于存儲在其設備上的電話號碼開始向現有聯系人發送短信。為此,用戶必須授予該應用訪問權限,這個所謂的聯系人自動發現功能還會定期將用戶的地址簿上傳到公司服務器。
但是維爾茨堡大學安全軟件系統小組和達姆施塔特工業大學的密碼學和隱私工程小組的研究人員最近進行的一項研究表明,當前主流移動通訊應用部署的這種聯系人發現服務嚴重威脅著數十億用戶的隱私。
僅僅動用了很少的資源,研究人員就對流行的即時通訊應用WhatsApp、Signal和Telegram實施了爬蟲攻擊。實驗結果表明,惡意用戶或黑客可以通過查詢聯系人發現服務中的隨機電話號碼來大規模收集敏感數據,而沒有明顯的限制。
攻擊者可以建立準確的行為模型
在范圍更廣的研究中,研究人員向WhatsApp查詢了美國所有手機號碼的10%,向Signal查詢了100%。因此,他們能夠收集通常存儲在即時通訊應用用戶配置文件中的個人(元)數據,包括配置文件圖片、昵稱、狀態文本和“上次在線”時間。
分析的數據還揭示了有關用戶行為的有趣統計信息。例如,很少有用戶更改默認的隱私設置,對于大多數即時通訊應用來說,這些設置根本不夠“隱私友好”。
研究人員發現,在美國約有50%的WhatsApp用戶擁有公開的個人資料圖片,有90%公開“關于”文字。有趣的是,通常被認為更加關注隱私的Signal用戶中有40%也在使用WhatsApp,更有趣的是他們在WhatsApp上都有公開的個人資料圖片。
隨著時間的推移跟蹤此類數據,使攻擊者能夠建立準確的行為模型。當跨社交網絡和公共數據源對數據進行匹配時,第三方也可以構建詳細的配置文件,例如針對性欺詐用戶。
Telegram方面,研究人員發現其聯系人發現服務會公開敏感信息,甚至包括未在該服務中注冊的電話號碼所有者。
哪些信息會在聯系人發現期間顯示并可以通過爬蟲攻擊收集,取決于服務提供商和用戶的隱私設置。例如,WhatsApp和Telegram會將用戶的整個通訊簿傳輸到其服務器。
諸如Signal之類的更關注隱私保護的即時通訊應用只能傳輸電話號碼的短加密哈希值或依賴于受信任的硬件。但是,研究團隊表明,采用新的和經過優化的攻擊策略,電話號碼的低熵使攻擊者能夠在毫秒內從加密哈希值推斷出相應的電話號碼。
此外,由于沒有明顯的用戶注冊限制,因此任何第三方都可以創建大量即時通訊賬戶,以通過請求隨機電話號碼的數據來用爬蟲抓取用戶數據庫的信息。
“我們強烈建議所有即時通訊應用的用戶重新審查其隱私設置。這是目前針對我們調查的爬蟲攻擊的最有效保護措施。”維爾茨堡大學的 Alexandra Dmitrienko教授和達姆施塔特工業大學的 Thomas Schneider教授表示同意。
研究結果:服務提供商需要改善其安全措施
研究小組向各即時通訊服務提供商報告了他們的發現。結果,WhatsApp改進了其保護機制,從而可以檢測到大規模攻擊,Signal減少了可能使爬網復雜化的查詢數量。
研究人員還提出了許多其他緩解技術,包括一種新的聯系人發現方法,可以采用該方法來進一步降低攻擊效率,而不會對可用性造成負面影響。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
