WhatsApp, Signal і Telegram «зливають» номери телефонів своїх користувачів (а в разі Telegram навіть і тих хто в ньому не зареєстрований), що дозволяє витягти всю інформацію з їх профілів. Вона згодом може використовуватися зловмисниками для створення підроблених аккаунтів з метою шахрайства, але винні в цьому будуть не тільки месенджери, а й самі користувачі.
Небезпечні месенджери
Месенджери WhatsApp, Signal і Telegram, відомі своїми сучасними технологіями безпеки, не забезпечували належний рівень захисту особистої інформації своїх користувачів. Про це повідомили дослідники з Вюрцбургского університету, протестували сервіси на предмет доступу до приватної інформації спільно з колегами з Дармштадтського технічного університету (обидва вузи знаходяться в Німеччині).
У своєму звіті автори експерименту вказали, що всі три месенджера, що входять, за версією профільного ресурсу TechRadar і розробника антивірусних рішень Avg, в п’ятірку найбільш захищених, розкривають персональні дані користувачів через сервіси пошуку контактів за номерами телефонів, що зберігаються в адресній книзі. Пов’язано це, на думку дослідників, з тим, що будь-який з цих месенджерів при першому запуску на мобільному пристрої для своєї коректної роботи запитує доступ до контактів власника гаджета. Отримавши його, в подальшому вони з певною періодичністю завантажують список контактів на сервери компанії-розробника.
Які дані були у відкритому доступі
За словами авторів дослідження, для парсинга всіх трьох месенджерів вони використовували зовсім невелике число ресурсів, але навіть з їх допомогою вони отримали доступ до значних обсягів даних. Наприклад, в ході свого експерименту за допомогою сервісу пошуку контактів вони просканували 10% номерів користувачів WhatsApp в США і заодно 100% номерів користувачів Signal, який, як відомо, є найулюбленішим месенджером Едварда Сноудена (Edward Snowden). У 2015 році він заявив, що щодня користується цим додатком (очевидно, для зв’язку з журналістами).
У розпорядженні дослідників виявилися всі дані, які люди викладають в своїх профілях. Серед них були фотографії аккаунта, нікнейми, статуси, останні дата і час підключення до сервісу і т. Д.
Аналіз даних дозволив скласти певну статистику про поведінку користувачів. Наприклад, більшість з них не змінюють настройки конфіденційності, залишаючи їх такими, якими вони були при реєстрації в месенджері, а базові установки в більшості такого роду сервісів не забезпечують цю саму конфіденційність. Дослідники виявили також, що близько 50% користувачів WhatsApp в США мають загальнодоступне фотографію свого аккаунта. Більш того, а 90% не приховують інформацію, яку вони розмістили в розділі «Про себе» (About).
Експерти відзначили і той факт, що 40% користувачів Signal, спочатку позиціював як найбезпечніший месенджер і націленого на тих, кого турбує приватність, мають повністю відкриті профілі в WhatsApp. Telegram ж і зовсім відзначився від двох своїх конкурентів. Дослідники змогли з його допомогою отримати номери телефонів навіть тих людей, хто не зареєстрований в цьому мессенджере, але є в списках контактів користувачів, що мають рахунок у ньому.
Чим це може загрожувати
Навіть з урахуванням того, що в призначених для користувача профілях месенджерів немає дійсно важливої інформації, яку не можна розкривати третім особам (номери банківських карт, паспортні дані та ін.), Доступні відомості можуть використовуватися зловмисниками в своїх цілях. У месенджерах немає строгих правил реєстрації, що дозволяє їм створювати в них безліч акаунтів з вкраденої інформацією, наприклад, для шахрайських дій. Подібне часто зустрічається і в соціальних мережах – кіберзлочинець створює клону чиєїсь сторінки і починає, наприклад, випрошувати гроші у тих людей, хто присутній в списку друзів власника справжнього профілю.
Як захиститися від сканування
Автори дослідження заявили, що тип інформації, який хакери або зловмисники можуть отримати про той чи інший користувача сервісу, залежать від самого користувача. Точніше, вони залежать від налаштувань конфіденційності, які він вибрав.
Також певний вплив на поширення особистих даних надають і самі месенджери. Так, якщо WhatsApp і Telegram передають на свої сервери весь список контактів, то Signal відправляє замість нього лише короткі хеш-кодування номерів телефонів, що ускладнює пошук інформації. Проте, дослідження німецьких фахівців показало, що вивести телефонні номери з хеш-значень за допомогою спеціальних інструментів можна за мілісекунди.