A sincronização do messenger com os contatos do catálogo de endereços (descoberta de contato) é uma função muito conveniente. Quando uma nova pessoa instala o aplicativo, uma grande lista de contatos é automaticamente adicionada a ela e, se alguém instalou o messenger pela primeira vez, uma notificação sobre isso chega a todos os seus amigos. Infelizmente, esse recurso pode ser usado por agências governamentais e outros invasores para rastrear pessoas. Os métodos de proteção existentes ainda não são muito eficazes.
A escala dos vazamentos foi estimada por especialistas da Universidade de Würzburg e da Universidade de Tecnologia de Darmstadt (Alemanha), que realizaram o maior estudo da história.com rastreamento de números de telefone em três mensageiros: WhatsApp, Telegram e Signal. Os resultados são decepcionantes: o WhatsApp e o Signal estão divulgando números de usuários em grande escala.
Embora o Telegram tenha limites muito rígidos quanto ao número de solicitações de API, ele também não é totalmente seguro.
Protocolos de interseção de conjunto fechado
Para pesquisar os contatos sem divulgar informações, são utilizados protocolos criptográficos para a interseção de conjuntos privados ( interseção de conjuntos privados). Esta técnica calcula a interseção do conjunto de entrada de um lado ("cliente") com o conjunto de entrada do segundo lado ("servidor") de modo que o cliente só conheça o conjunto de interseções e o servidor saiba apenas o tamanho do conjunto de entrada do cliente.
No entanto, esses protocolos atualmente não são eficientes o suficiente para aplicativos móveis com bilhões de usuários. Além disso, o PSI ainda não resolve absolutamente todos os problemas de privacidade, uma vez que não pode impedir ataques de força bruta.
Gráfico social vazado
Na conferência de segurança de computador USENIX Security 2019 do ano passado, um relatório foi apresentado provando que muitos mensageiros móveis (incluindo WhatsApp) tornam mais fácil encontrar contatos, enviando tudo para o servidor.contatos do catálogo de endereços do usuário e, posteriormente, armazená-los no servidor, mesmo se nenhuma correspondência for encontrada. Graças a isso, o serviço pode notificar o usuário sobre novos contatos cadastrados, bem como construir um gráfico social completo para cada pessoa. Essas colunas são complementadas com informações de outras fontes. O principal problema de privacidade é que as informações de contato podem ser vazadas para o público e usadas para fraude, discriminação, chantagem, danos à reputação ou investigações policiais. O servidor também pode ficar comprometido, o que leva à divulgação de informações confidenciais, mesmo que os próprios desenvolvedores do messenger não tenham vendido a base acumulada.
Para se proteger contra essa ameaça, alguns aplicativos móveis (incluindo Signal) fazem hash dos contatos. Infelizmente, a baixa entropia dos números de telefone facilita a reversão (descriptografia) dos hashes , portanto, essa proteção é ineficaz.
Rastejando
Mas o principal método de coleta de informações de contato é o rastreamento . Como os serviços geralmente não têm restrições ao registro de novos usuários, você pode registrar qualquer número de contas falsas com um conjunto aleatório de contatos na lista de endereços. Assim, você verifica a presença de cada número de telefone no banco de dados - e coleta as informações disponíveis sobre seus proprietários.
Os serviços não são capazes de bloquear completamente esse tipo de ataque, pois os usuários devem ser capazes de solicitar informações sobre contatos do servidor. O único método de defesa é limitar o número de solicitações (consulte a tabela abaixo na seção que descreve o ataque).
Com a ajuda do rastreamento, uma base de usuários é coletada. Além do número de telefone, este banco de dados pode incluir outras informações que o usuário indicou sobre si mesmo e abriu para todos verem. As informações que serão incluídas no banco de dados dependem das configurações de privacidade. Como a grande maioria dos usuários não altera as configurações padrão, esse aspecto também está sob o controle dos desenvolvedores do messenger.
Trabalhos científicos anteriores mostraram que, rastreando os metadados do usuário em mensageiros (tempo de aparecimento online), é possível construir modelos de comportamento precisos .
A comparação dessas informações com outras redes sociais e fontes de dados disponíveis publicamente permite que terceiros construam perfis ainda mais detalhados .
No comércio, esse conhecimento é usado para publicidade direcionada ou fraude, do ponto de vista pessoal - para chantagem ou planejamento de um crime, e do ponto de vista do Estado - para processar cidadãos . É assim que as autoridades de Hong Kong calcularam os usuários que são membros dos grupos de protesto do Telegram. Os dados de vários milhares de usuários do canal Telegram foram publicados na Rússia em 2019 (como a investigação mostrou, a fonte dos dados é o Ministério de Assuntos Internos).
É sabido que o programa de anonimização do Insider Telegram está trabalhando para rastrear usuários russos. Os desenvolvedores dizem que a enumeração de números permitiu compilar um banco de dados de mais de 10 milhões de usuários. O serviço supostamente mostra qual número de telefone corresponde à conta do Telegram.
Insider Telegram funciona como parte do sistema Laplace Demon (apenas para pessoas jurídicas e agências governamentais), há rumores sobre um sistema semelhante de Cryptoscan e outros desenvolvimentos.
Há evidências de que as estruturas de poder da Bielo-Rússia também estão começando a usar técnicas de rastreamento semelhantes às da Rússia, uma vez que o Telegram se tornou a principal ferramenta de comunicação para os cidadãos.
Ataque a mensageiros: resultados
Pesquisadores alemães em seu trabalho científico demonstraram dois tipos de ataques a mensageiros instantâneos:
- reversão de hash: criação de grandes dicionários com todos os valores de hash possíveis para todos os números de telefone do mundo, força bruta em hashcat, novas tabelas de arco-íris.
- : 10% WhatsApp 100% Signal. .
| Signal | Telegram | ||
|---|---|---|---|
| 60 . | 120 . | 5 . + 100 | |
| UI Automator | () API | API | |
| 46,2 | 505,7 | 0,1 | |
| 10% | 100% | 0,02% | |
| 9,8% | 0,5% | 0,9% | |
| 5,0 | 2,5 | 908 | |
| () | 49,6 | 2,5 | 4,6 |
| : | |||
| — | |||
| — | |||
Para o rastreamento, os pesquisadores usaram recursos modestos:
- aplicativo Hushed grátis para registrar clientes com novos números de telefone;
- Assinatura VPN para alteração de endereços IP;
- um laptop com emuladores de vários dispositivos Android.
Para rastrear os contatos do WhatsApp, foi lançado um aplicativo oficial no emulador, com a interface de interação do framework UI Automator. Para começar, 60.000 números de telefone foram inseridos no catálogo de endereços do dispositivo. Se um deles estiver registrado no WhatsApp, seus dados de perfil foram recuperados. Novas contas do WhatsApp foram registradas manualmente por meio de números de telefone Hushed falsos.
A comunicação com o Telegram era feita através da biblioteca oficial TDLib , disponibilizada para diversos idiomas e plataformas. Qualquer aplicativo pode ser passado como um cliente Telegram se você integrar a biblioteca TDLib e obter um token de autenticação, o que é feito com o mínimo de esforço.
Um script Python foi escrito para Signal para enviar solicitações de registro e encontrar contatos.
Os pesquisadores descobriram os limites do número de solicitações em cada mensageiro, além de uma série de outros fatos interessantes. Por exemplo, a API do Telegram divulga metadados confidenciais, incluindo sobre telefones que não estão registrados no Telegram e sobre o número de usuários que têm esse número não registrado em seu catálogo de endereços (consulte a descrição da variável
importer_countna documentação da API do Telegram ).
O WhatsApp e o Telegram transmitem informações de contato em texto não criptografado (por meio de canais criptografados). O WhatsApp armazena os números de usuários registrados nos servidores em texto não criptografado e faz o hash dos números de usuários não registrados no MD5.
O Signal não armazena contatos dos catálogos de endereços dos usuários no servidor. Em vez disso, cada cliente envia periodicamente hashes de todos os seus contatos ao servidor para verificar o banco de dados de usuários registrados. Mas esses hashes são fáceis de decifrar.
conclusões
Em um artigo científico, os pesquisadores quantificaram os esforços dos invasores para coletar dados confidenciais do usuário em grande escala. Infelizmente, isso ainda é possível, mesmo com recursos de ataque relativamente modestos.
Agora, 50% dos usuários do WhatsApp têm uma foto de sua conta postada em domínio público e 90% têm suas informações "Sobre mim" abertas. Curiosamente, 40% dos usuários do sinal de mensageiro seguro e privado têm perfis do WhatsApp totalmente abertos.
Antes da publicação deste trabalho, os resultados foram enviados para WhatsApp, Signal e Telegram. A Signal reconheceu o problema, reduziu os limites de solicitação e prometeu implementar outros métodos anti-rastreamento. O Facebook pagou aos pesquisadores uma recompensa pelas vulnerabilidades que encontrou e implementou uma proteção aprimorada para sincronizar contatos do WhatsApp. Finalmente, o Telegram desenvolveu contramedidas adicionais contra a extração de dados dentro dos limites estabelecidos. Agora o sistema está tentando determinar o rastreamento da base de números por critérios específicos - e o bloqueia após 20-100 correspondências em vez de 5000.
Hoje o Telegram é o melhor mensageiro no combate ao rastreamento de usuários. Após os protestos de 2019 em Hong Kong com vazamento de dados pessoais de usuários de grupos de protestoO Telegram tem limites rígidos e timeouts que tornam o rastreamento uma tarefa técnica muito difícil.
Segundo os autores, atualmente a medida de proteção mais eficaz para os usuários é revisar suas configurações de privacidade. É altamente indesejável deixar os valores padrão. Para máxima segurança em condições de vigilância governamental, é melhor registrar uma conta no messenger com um número falso.
Publicidade
VDS seguro para pedidos dos quais você precisa apenas do seu e-mail, sem outros dados pessoais! Usamos o hardware de marca mais recente, cada servidor é protegido de forma confiável contra ataques DDoS.
