Kötü niyetli kişiler, bir rakibin mesajının teslim edilmesi için geçen süreyi ölçerek bir kullanıcının konumunu çıkarmaya çalıştığı zamanlama saldırısı adı verilen bir şey gerçekleştirebilir. Bu kritik bilgi parçası için mesaj teslim durumuna güvenirler.
Saldırgan, alıcının ülkesini, şehrini veya bölgesini bulmak için bu gecikmeleri ölçebilir ve hatta WiFi mi yoksa mobil internet mi kullandığını öğrenebilir.
Bu saldırının işe yaraması için saldırgan ve hedefin birbirini tanıması ve önceden bir görüşmeye girmiş olması gerekir.
WhatsApp dünya çapında 2 milyar insan tarafından kullanılıyor ve Signal ve Threema’nın sırasıyla 40 milyon ve 10 milyon kullanıcıyla daha küçük bir kullanıcı tabanı olmasına rağmen, kendilerini gizlilik odaklı, güvenli ve güvenli uygulamalar olarak faturalandırıyorlar, bu nedenle bu bulgular daha fazla bu iki uygulamanın kullanıcıları için endişe verici.
Aslında, Signal ve Threema, zamanlama saldırısının Signal kullanıcılarının konumunu yüzde 82 doğrulukla ve Threema kullanıcılarının konumunu yüzde 80 doğrulukla çıkarmak için kullanılabileceği anlamında bu saldırılara daha duyarlı görünüyor. WhatsApp için bu sayı yüzde 74 ve bu da endişe verici olsa da aradaki farkın daha büyük olmasını beklerdik.
Araştırmacılar, saldırının büyük olasılıkla bir mesaj alındığında boşta olan cihazlarla çalışmayacağını keşfettiler. Bu nedenle, geliştiricilerin gönderenlere rastgele teslimat onay süreleri göstermelerini önerdiler. Zamanlama 1 ila 20 saniye arasında kapalıysa, teslimat bildirimlerinin pratik kullanışlılığını etkilemeden zamanlama saldırısını işe yaramaz hale getirecektir.
Konum gizliliği konusunda endişelenen kullanıcılar, seçtikleri uygulama tarafından destekleniyorsa teslimat bildirimi özelliğini devre dışı bırakmayı deneyebilir. Ayrıca, uygulamanın bir VPN’yi (sanal özel ağ) atlayacak şekilde ayarlanmadığını varsayarsak, kullanıcılar gecikmeyi veya gecikmeyi artırmak için bir VPN kullanabilir.
RestorePrivacy, söz konusu uygulamaların üreticisine ulaştı ve Threema’dan şu yanıtı aldı:
Halihazırda farklı geçici çözümler düşündük ve müşterinin bu tür zamanlama analizlerini işe yaramaz hale getirmek için teslimat bildirimlerini rastgele bir şekilde biraz geciktirdiği testler de dahil olmak üzere çeşitli testler gerçekleştirdik. (Bu iyileştirmeyi içeren uygulama güncellemeleri yakında kullanıma sunulacaktır.)
Ancak, bu zamanlama analizlerinin pratik olarak kullanılabilirliğinin tartışmalı olduğunu lütfen unutmayın: Kullanıcılar genellikle mesajlaşma uygulamalarını her zaman açık tutmazlar ve uygulamayı arka planda uyandıran push bildirimleri zaten birkaç adede kadar önemli bir gecikme ekler. saniye.
telefon-1