رویداد۲۴ محققان امنیت میگویند با روش غافلگیرکنندهای توانستهاند دادههای موقعیتی کاربران را تنها با ارسال پیام در واتساپ و سیگنال به دست آورند. اگرچه این روش چندان دقیق نیست، اما میتواند با اعتمادپذیری حدود ۸۰ درصدی این دادهها را به دست آورد.
بر اساس گزارش Restore Privacy، محققان در این آزمایش سه پیامرسان واتساپ، سیگنال و Threema را آزمایش کرده و متوجه شدهاند که با یک حمله دقیق زمانی میتوان به موقعیت کاربران دست پیدا کرد. این حمله به محاسبه زمانی میپردازد که طول میکشد تا پیام از مهاجم به دستگاه مخاطب برسد.
با توجه به این که شبکههای اینترنت و زیرساخت سرورهای پیامرسانها مشخصات فیزیکی خاصی دارند و از مسیرهای سیگنالی استاندارد استفاده میکنند، نوتیفیکیشنهایی که به دستگاه گیرنده میرسد، با توجه به موقعیت فرد تاخیرهای قابل پیشبینی دارد.
تشخیص موقعیت کاربر با ارسال پیام در واتساپ
به عبارت دیگر، وقتی برای شما یک پیام فرستاده میشود، کمی طول میکشد تا پیام به حساب کاربری شما برسد (منظور خوانده شدن پیام نیست). این مدت زمان نشاندهنده فاصلهای است که پیام طی کرده تا به دست شما برسد. این زمانبندی البته باید دقیق باشد، اما دستیابی به آن از طریق بررسی لاگ اپلیکیشنهای بررسی پکتهای شبکه مثل Wireshark ممکن است.
البته این حمله استفاده محدودی دارد و فقط میتوان آن را روی افرادی استفاده کرد که آنها را میشناسید. چون برای انجام این کار باید وقتی میدانید مخاطب در یک موقعیت مشخص (مثلا در خانه یا محل کار) حضور دارد، به او پیام بدهید و هر بار این زمانبندیها را ثبت کنید. سپس هر زمان که به فرد پیام بدهید، با توجه به زمانبندی ارسال پیامها میتوانید بفهمید که مخاطب کجاست.
محققان میگویند دقت استفاده از این روش در سیگنال ۸۲ درصد، در تریما ۸۰ درصد و در واتساپ ۷۴ درصد است. آنها مدعیاند که بهترین روش برای مقابله با این آسیبپذیری افزودن یک متغیر تصادفی به زمانبندی ارسال و دریافت پیامهاست. ظاهرا دو مورد از این پیامرسانها اعلام کردهاند که در حال بررسی این مشکل هستند. نتایج این پژوهش در arXiv منتشر شده است.