Мессенджеры WhatsApp, Signal и Telegram по мнению многих являются лучшим выбором, если нужна защита коммуникаций и персональных данных. Однако исследователи из Вюрцбургского университета совместно с коллегами из Дармштадтского технического университета показали, что эти мессенджеры не способны защитить информацию пользователей. Эти приложения «сливают» контакты юзеров.
Все три мессенджеры раскрывают персональные данные пользователей через сервисы поиска контактов по номерам телефонов, которые хранятся в адресной книге. Это происходит потому, что мессенджеры при первом запуске запрашивают доступ к адресной книге смартфона. В мессенджеры регулярно сканируют список контактов и загружают его на серверы компании-разработчика.
По словам авторов исследования, им удалось получить доступ к значительным объемам данных. Исследователи смогли просканировать 10% номеров пользователей WhatsApp в США, 100% номеров пользователей Signal. Последний считается топ-защищенным и его даже рекомендовал Эдвард Сноуден в 2015 году.
Исследователи смогли получить все данные, которые люди выкладывают в своих профилях. Это фотографии аккаунта, ники, статусы, последние дата и время подключения к сервису и тому подобное. Около 50% пользователей WhatsApp в США имеют общедоступное фото своего аккаунта. Почти 90% не скрывают информацию, которую они разместили в разделе «о себе».
Telegram выдал не только данные пользователей — исследователи смогли получить номера телефонов даже тех людей, которые не пользуются этим мессенджером. Это номера тех людей, которые были в адресных книгах пользователей Telegram.
Анализ полученных данных позволил создать определенную картину использования мессенджеров. Например, большинство юзеров оставляют стандартные настройки конфиденциальности. При этом такие базовые установки не обеспечивают конфиденциальность. Так 40% пользователей Signal имеют полностью открытые профили в WhatsApp.
Опасность доступности и открытости данных заключается, например, в том, что злоумышленник может выдать себя за определенного человека для вмешательства в доверие.
Авторы исследования отметили, что WhatsApp, Signal и Telegram нельзя считать конфиденциальными средствами общения.
«При использовании мобильных мессенджеров мы настоятельно рекомендуем проверить все настройки конфиденциальности. В настоящее время это самая эффективная защита от наших изученных атак сканирования», — говорят авторы исследования Александра Дмитриенко (университет Вюрцбурга) и профессор Томас Шнайдер (утіверситет Дармштадт).
Исследователи поделились своими выводами с соответствующими поставщиками услуг. WhatsApp улучшил свои меры защиты, чтобы теперь выявлять крупномасштабные атаки, а Signal сократил количество возможных запросов, чтобы усложнить сканирование. Исследователи также предлагают различные другие методы защиты, включая новый метод выявления контактов, который снизит эффективность атак, не влияя негативно на удобство использования.