Месенджери WhatsApp, Signal і Telegram на думку багатьох є найкращим вибором, якщо потрібен захист комунікацій та персональних даних. Однак дослідники з Вюрцбурзького університету спільно з колегами з Дармштадтського технічного університету показали, що ці месенджери не спроможні захистити інформацію користувачів. Ці додатки «зливають» контакти юзерів.
Усі три месенджери розкривають персональні дані користувачів через сервіси пошуку контактів за номерами телефонів, що зберігаються в адресній книзі. Це відбувається тому, що месенджери при першому запуску запитують доступ до адресної книги смартфона. В месенджери регулярно сканують список контактів і завантажують його на сервери компанії-розробника.
За словами авторів дослідження, їм вдалося отримати доступ до значних обсягів даних. Дослідники змогли просканувати 10% номерів користувачів WhatsApp в США, 100% номерів користувачів Signal. Останній вважається топ-захищеним і його навіть рекомендував Едвард Сноуден в 2015 році.
Дослідники змогли отримати всі дані, які люди викладають у своїх профілях. Це фотографії аккаунта, нікнейми, статуси, останні дата і час підключення до сервісу тощо. Близько 50% користувачів WhatsApp в США мають загальнодоступне фото свого аккаунта. Майже 90% не приховують інформацію, яку вони розмістили в розділі «про себе».
Telegram видав не лише дані користувачів – дослідники змогли отримати номери телефонів навіть тих людей, які не користуються цим месенджером. Це номери тих людей, які були в адресних книгах користувачів Telegram.
Аналіз отриманих даних дозволив створити певну картину використання месенджерів. Наприклад, більшість юзерів залишають стандартні налаштування конфіденційності. При цьому такі базові установки не забезпечують конфіденційність. Так 40% користувачів Signal мають повністю відкриті профілі в WhatsApp.
Небезпека доступності та відкритості даних полягає, наприклад, в тому, що зловмисник може видати себе за певну людину для втручання в довіру.
«При використанні мобільних месенджерів ми настійно рекомендуємо перевірити всі налаштування конфіденційності. В даний час це найефективніший захист від наших вивчених атак сканування», – кажуть автори дослідження Олександра Дмитрієнко (університет Вюрцбурга) і професор Томас Шнайдер (утіверситет Дармштадт).
Дослідники поділилися своїми висновками з відповідними постачальниками послуг. WhatsApp покращив свої заходи захисту, щоб тепер виявляти великомасштабні атаки, а Signal скоротив кількість можливих запитів, щоб ускладнити сканування. Дослідники також пропонують різні інші методи захисту, включаючи новий метод виявлення контактів, який знизить ефективність атак, не впливаючи негативно на зручність використання.
