WhatsApp,Signal&Co:数十亿用户容易受到隐私攻击。
达姆施塔特技术大学和维尔茨堡大学的研究人员表明,流行的移动通讯程序通过发现服务公开个人数据,该服务允许用户根据通讯录中的电话号码查找联系人。
当安装类似WhatsApp的移动Messenger时,新用户可以立即基于存储在其设备上的电话号码向现有联系人发短信。为此,用户必须授予该应用访问权限,并在称为“移动联系人发现”的过程中定期将其通讯录上传到公司服务器。维尔茨堡大学安全软件系统小组和达姆施塔特工业大学的密码学和隐私工程小组的研究人员最近进行的一项研究表明,当前部署的联系发现服务严重威胁着数十亿用户的隐私。利用很少的资源,研究人员能够对流行的Messenger WhatsApp,Signal和Telegram进行实际的爬网攻击。实验结果表明,恶意用户或黑客可以通过向联系人发现服务查询随机电话号码来大规模收集敏感数据,而不会受到明显限制。
攻击者可以建立准确的行为模型
在广泛的研究中,研究人员向WhatsApp查询了美国所有手机号码的10%,向Signal查询了100%。因此,他们能够收集通常存储在Messenger用户配置文件中的个人(元)数据,包括配置文件图片,昵称,状态文本和“上次在线”时间。分析的数据还揭示了有关用户行为的有趣统计信息。例如,很少有用户更改默认的隐私设置,对于大多数Messenger来说,这些设置根本不是隐私友好的。研究人员发现,在美国,约有50%的WhatsApp用户具有公开的个人资料图片,而有90%的用户具有公开的“关于”文字。有趣的是,一般认为40%以上的Signal用户也都在使用WhatsApp,而这些Signal用户中的每一个在WhatsApp上都有公开的个人资料图片。随着时间的推移跟踪此类数据,使攻击者能够建立准确的行为模型。当跨社交网络和公共数据源对数据进行匹配时,第三方也可以构建详细的配置文件,例如针对欺诈用户。对于Telegram,研究人员发现,其联系人发现服务甚至会公开敏感信息,甚至是有关未在该服务中注册的电话号码所有者的信息。
哪些信息会在联系人发现期间显示并可以通过爬网攻击收集,取决于服务提供商和用户的隐私设置。例如,WhatsApp和Telegram会将用户的整个通讯簿传输到其服务器。诸如信号之类的更多与隐私相关的Messenger只能传递电话号码的短加密哈希值或依赖于受信任的硬件。但是,研究团队表明,采用新的和经过优化的攻击策略,电话号码的低熵使得攻击者能够在几毫秒内从加密哈希值中推断出相应的电话号码。此外,由于没有明显的限制来注册消息传递服务,因此任何第三方都可以创建大量帐户,以通过请求随机电话号码的数据来爬网Messenger的用户数据库以获取信息。“我们强烈建议所有Messenger应用的用户重新访问其隐私设置。这是目前针对我们调查的爬网攻击的最有效保护措施。”维尔茨堡大学的Alexandra Dmitrienko教授和达姆施塔特大学的Thomas Schneider教授表示同意。
研究结果的影响:服务提供商改善其安全措施
研究小组向各自的服务提供商报告了他们的发现。结果,WhatsApp改进了其保护机制,从而可以检测到大规模攻击,而Signal减少了可能使爬网复杂化的查询数量。研究人员还提出了许多其他缓解技术,包括一种新的联系人发现方法,可以采用该方法来进一步降低攻击效率,而不会对可用性造成负面影响。
所有结果均在“所有数字均为美国:由克里斯托弗·哈根(Christoph Hagen),克里斯蒂安·韦纳特(Christian Weinert),克里斯托弗·发送者(Christoph Sendner),亚历山德拉·德米特连科(Alexandra Dmitrienko)和托马斯·施耐德(Thomas Schneider)提出,将于2021年2月28日举行。年度网络和分布式系统安全研讨会(NDSS),IT安全的顶级会议。PDF