Notebookcheck Logo

A WhatsApp és a Signal gyenge biztonsága lehetővé teszi, hogy az alacsony képzettségű támadók nyomon kövessék a felhasználókat

Tracking WhatsApp (szimbolikus kép, amelyet Stable Diffusion segítségével hoztak létre)
Tracking WhatsApp (szimbolikus kép, amelyet Stable Diffusion segítségével hoztak létre)
A Bécsi Egyetem kutatói olyan sebezhetőségeket fedeztek fel a WhatsAppban és a Signalban, amelyek lehetővé teszik a felhasználók kimutathatatlan nyomon követését a köridő (RTT) méréseken keresztül. Egy egyszerű program, amely most elérhető a GitHubon, bemutatja, milyen könnyen kihasználható ez a gyengeség.
Security Science Software Hack / Data Breach Social Media

A Bécsi Egyetem kutatócsoportja egy apró, de komoly biztonsági rést talált a végponttól végpontig titkosított (E2EE) üzenetküldő szolgáltatások működésében. Az eredetileg 2024. november 17-én, "Careless Whisper: A csendes kézbesítési nyugták kihasználása a felhasználók megfigyelésére a mobil azonnali üzenetküldőkben," rávilágít arra, hogy a WhatsApp vagy a Signal telepítése esetén a Round-Trip Time (RTT) adatok felhasználásával nyomon követhetők az eszközök.

A GitHubon most megjelent egy program, amely automatikusan ki tudja használni ezt a sebezhetőséget a WhatsAppban. Bár egy ilyen eszköz rendelkezésre bocsátása etikai aggályokat vet fel, a célja az, hogy nyomást gyakoroljon a WhatsAppra, hogy orvosolja a biztonsági rést és javítsa a felhasználók adatvédelmi védelmét.

Kiderült, hogy a program alapötlete meglepően egyszerű. A nyomkövető nem létező üzenetazonosítókra küld reakcióüzeneteket. A célkészülék még mindig kézbesítési nyugtával válaszol. Ez a felhasználó számára láthatatlan reakció elárulja a manipulált kérés elküldéséhez és fogadásához szükséges időt - az RTT-t.

Bár ezek az adatpontok önmagukban nem árulják el a közvetlen tartózkodási helyet, hosszabb időn keresztül összegyűjtve értékes betekintést nyújthatnak. Az RTT-adatokon belüli minták jelezhetik, ha egy eszköz aktívan használatban vagy készenléti üzemmódban van. A hálózati kapcsolat típusa, például Wi-Fi vagy mobilhálózat, szintén kikövetkeztethető. Ezeket a tevékenységmintákat órákon vagy napokon keresztül elemezve a támadók következtetéseket vonhatnak le a felhasználói viselkedésről. Ráadásul az állandó kérések fogyasztják az érintett okostelefon akkumulátorának élettartamát és a mobiladatokat.

Jelenleg a felhasználóknak korlátozott lehetőségeik vannak arra, hogy védekezzenek ez ellen a követési módszer ellen. Az okostelefonokon nincsenek olyan értesítések, amelyek figyelmeztetnék a felhasználókat az ilyen megfigyelésre. A támadó telefonszáma nem szerezhető meg, ami lehetetlenné teszi a blokkolást. Sem a Signal, sem a WhatsApp jelenleg nem kínál lehetőséget a kézbesítési nyugták letiltására. A drasztikus megoldás jelenleg az egyetlen lehetőség. Az összes érintett végponttól végpontig titkosított üzenetküldő szolgáltatás eltávolítása a készülékről.

Tiiny AI Pocket Lab: Mini PC 12 mag...
Please share our article, every link counts!
Mail Logo
> Magyarország - Kezdőlap > Hírek > News Archive > Newsarchive 2025 12 > A WhatsApp és a Signal gyenge biztonsága lehetővé teszi, hogy az alacsony képzettségű támadók nyomon kövessék a felhasználókat
Marc Herter, 2025-12-11 (Update: 2025-12-11)