Содержимое
Тихий шёпот Третьи лица по номеру телефона могут отслеживать активность более 3 миллиардов пользователей WhatsApp и Signal. В этом атакующим помогает инструмент, опубликованный на GitHub пользователем под ником Gommzystudio. Программа работает благодаря уязвимости Silent Whisper, обнаруженной исследователями ещё в прошлом году. Брешь позволяет хакерам определить когда пользователь возвращается домой, пользуется телефоном, подключается к Wi-Fi и находится вне сети. Программа отправляет фейковые уведомления на несуществующие адреса. Телефон незаметно подтверждает их получение, позволяя замерить скорость отклика сети RTT. Сами замеры ничего не значат, но собранные за долгое время данные помогают вычислить активность устройства, тип связи и поведение пользователя. Кроме того, в ходе атаки быстрее садится батарея и расходуется мобильный интернет из-за того, что телефон всё время обрабатывает поток уведомлений. При этом смартфоны не показывают уведомлений о таком наблюдении, а номер злоумышленника неизвестен, поэтому и заблокировать его невозможно. Несмотря на то, что уязвимость уже давно раскрыта, в приложениях вроде Signal и WhatsApp пока нет возможности отключить квитанции о доставке сообщений. НеКасперский