Naujas saugumo tyrimas atskleidė nerimą keliančią realybę: populiarios susirašinėjimo programėlės, tarp jų ir WhatsApp, gali būti išnaudojamos tyliai, beveik nepastebimai sekant vartotojų elgesį. Ir tam nereikia nei įsilaužti į telefoną, nei įdiegti kenkėjiškų programų.
Tyrėjų teigimu, vadinamosios „nematomos žinutės“ leidžia sudaryti gana tikslų žmogaus kasdienio gyvenimo žemėlapį – nuo to, kada jis naudojasi telefonu, iki to, kada miega ar juda.
Tyrimas, palietęs milijardus naudotojų
Pažeidžiamumą nustatė Vienos universitetas mokslininkai, o jų darbas publikuotas tyrime „Careless Whisper“. Kaip rašo technologijų leidinys Chip, problema aktuali ne tik „WhatsApp“, bet ir kitoms saugiomis laikomoms programėlėms, įskaitant Signal.
Tyrėjai pabrėžia, kad kalbama ne apie teorinę grėsmę – metodas veikia realiomis sąlygomis ir yra paremtas funkcijomis, kurios giliai integruotos į pačių programėlių architektūrą.
Kaip veikia „tyliosios žinutės“
Atakos esmė – vadinamieji tylūs pranešimai. Tai techniniai signalai, kuriuos programėlė apdoroja fone, tačiau vartotojui apie juos nepraneša: nėra nei garso, nei vibracijos, nei pranešimo ekrane. Iš vartotojo perspektyvos – nieko neįvyko.
Tačiau programėlė vis tiek siunčia pristatymo patvirtinimą. Ir būtent čia slypi problema. Stebėdamas, kaip greitai programa atsako, užpuolikas gali daryti išvadas apie telefono būseną: ar ekranas įjungtas, ar programėlė aktyvi, ar įrenginys yra miego režime.
Kartojant tokius bandymus ilgą laiką, galima sudaryti detalų elgesio profilį – praktiškai nematant nei vienos realios žinutės.
Vartotojas nieko nemato ir negali apsiginti
Tyrėjai pabrėžia: pavojingiausia tai, kad vartotojas apie tokią ataką visiškai nieko nežino. Programėlėje nelieka jokių pėdsakų, nėra žinučių istorijos, nėra nustatymo, kuris leistų „tyliąsias žinutes“ išjungti ar filtruoti.
„Vartotojas neturi jokio būdo aptikti ar blokuoti šių signalų“, – rašoma tyrime. Kitaip tariant, stebėjimas gali vykti nuolat, net jei telefonas atrodo visiškai saugus.
Problemos šerdis – varnelės
Ypatingą vaidmenį šiame mechanizme atlieka „WhatsApp“ pilkų ir mėlynų varnelių sistema. Pristatymo ir perskaitymo patvirtinimai yra būtina šifruoto ryšio dalis, todėl jų visiškai išjungti neįmanoma.
Matavus laiką tarp siunčiamo signalo ir gauto patvirtinimo, galima nustatyti, kaip aktyviai naudojamas telefonas. Ilgainiui tai leidžia atskirti darbo ir poilsio laiką, miego ciklus, o kai kuriais atvejais – net judėjimo įpročius.
Kodėl apsauga ribota
Šiuo metu naudotojų galimybės apsisaugoti yra labai ribotos. „WhatsApp“ leidžia blokuoti žinutes iš nežinomų siuntėjų, tačiau ši priemonė neveikia, jei signalai siunčiami iš kontaktų, jau esančių adresų knygoje. „Signal“ tokios funkcijos apskritai neturi.
Apie šį pažeidžiamumą dar 2024 metais buvo informuota Meta, valdanti „WhatsApp“, ir Signal Foundation. „Meta“ problemą įvertino kaip mažos rizikos, o „Signal“ viešo atsakymo nepateikė.
Architektūrinė problema, ne klaida
Tyrėjai pabrėžia, kad tai nėra paprasta programavimo spraga, kurią būtų galima greitai ištaisyti atnaujinimu. Problema slypi pačioje saugaus ryšio architektūroje: tos pačios funkcijos, kurios užtikrina privatumą ir šifravimą, gali būti panaudotos ir slaptam stebėjimui.
Kol nebus peržiūrėti patys programėlių veikimo principai, milijardai naudotojų visame pasaulyje išliks pažeidžiami – net to nesuvokdami.
Šaltinis: https://www.chip.de/news/whatsapp/experte-klaert-auf-so-einfach-werden-whatsapp-nutzer-ausspioniert-ohne-es-zu-merken_06a9a187-d5ce-4cd8-875c-f42cef93957f.html
