Классический форум-трекер
canvas not supported
Нас вместе: 4 232 009

WhatsApp, Telegram и Signal выдают телефонные номера всех пользователей


Страницы:   Пред.  1, 2, 3, 4, 5, 6  След. 
 
RSS
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> А знаете ли вы..
Автор Сообщение
Implode Sch ®
RG Soft
Стаж: 12 лет 8 мес.
Сообщений: 7493
Ratio: 90.62
Поблагодарили: 451222
100%
Синхронизация мессенджера с контактами из адресной книги (contact discovery) — очень удобная функция. Когда новый человек ставит приложение, то в него автоматически добавляется большой список контактов, а если кто-то впервые установил мессенджер, то уведомление об этом приходит всем его знакомым. К сожалению, данную функцию могут использовать государственные службы и другие злоумышленники для выслеживания людей. Существующие методы защиты пока не очень эффективны.

Масштаб утечек оценили специалисты из Вюрцбургского университета и Дармштадтского технического университета (Германия), который провели самое масштабное в истории исследование с краулингом телефонных номеров в трёх мессенджерах: WhatsApp, Telegram и Signal. Результаты неутешительные: WhatsApp и Signal сливают номера пользователей в большом масштабе.

Хотя у Telegram очень жёсткие лимиты на количество запросов к API, он тоже не полностью защищён.

Протоколы пересечения закрытых множеств

Для поиска по контактам без раскрытия информации предназначены криптографические протоколы пересечения закрытых множеств (private set intersection). Эта техника вычисляет пресечение входного множества одной стороны («клиент») с входным множеством второй стороны («сервер»), так что клиенту известен только набор пересечений, а серверу известен только размер входного набора клиента.

Однако эти протоколы в настоящее время недостаточно эффективны для мобильных приложений с миллиардами пользователей. Кроме того, PSI всё равно не решает абсолютно всех вопросов конфиденциальности, поскольку не может предотвратить атаки методом перебора номеров.

Утечка социального графа

На прошлогодней конференции по компьютерной безопасности USENIX Security 2019 был представлен доклад с доказательством, что многие мобильные мессенджеры (в том числе WhatsApp) облегчают обнаружение контактов, загружая на сервер все контакты из адресной книги пользователя, и впоследствии хранят их на сервере, даже если совпадение не найдено. Благодаря этому сервис может уведомлять пользователя о новых зарегистрированных контактах, а также строить полный социальный граф каждого человека. Эти графы дополняются информацией из других источников. Главная проблема конфиденциальности заключается в том, что контактные данные могут утечь в открытый доступ и использоваться для мошенничества, дискриминации, шантажа, вреда репутации или полицейского расследования. Сервер также может быть скомпрометирован, что приводит к раскрытию конфиденциальной информации, даже если разработчики мессенджера сами не продавали накопленную базу.

Чтобы защититься от этой угрозы, некоторые мобильные приложения (включая Signal) хэшируют контакты. К сожалению, низкая энтропия телефонных номеров позволяет легко обратить (расшифровать) хэши, поэтому такая защита неэффективна.

Краулинг

Но основной метод сбора контактных данных — это краулинг. Поскольку в сервисах обычно нет ограничения на регистрацию новых пользователей, то вы можете зарегистрировать любое количество фейковых аккаунтов со случайным набором контактов в адресной книге. Таким образом вы проверяете наличие в базе каждого телефонного номера — и собираете доступную информацию на их владельцев.

Полностью блокировать такую атаку сервисы не в состоянии, поскольку у пользователей должна быть возможность запрашивать с сервера информацию о контактах. Единственный метод защиты — ограничение количества запросов (см. таблицу ниже в разделе с описанием атаки).

С помощью краулинга собирается база пользователей. Кроме телефонного номера, эта база может включать и другую информацию, которую пользователь указал о себе и открыл для всеобщего обозрения. Какие именно сведения попадут в базу — зависит от настроек приватности. Поскольку абсолютное большинство пользователей не изменяет настройки по умолчанию, этот аспект тоже находится под контролем разработчиков мессенджера.

Предыдущие научные работы показали, что отслеживая метаданные пользователей в мессенджерах (время появления в онлайне), можно построить точные модели поведения.


Сопоставление такой информации с другими социальными сетями и общедоступными источниками данных позволяет третьим лицам построить ещё более детальные профили.

В коммерции такие знания используются для таргетированной рекламы или мошенничества, с персональной точки зрения — для шантажа или планирования преступления, а с точки зрения государства — для преследования граждан. Так власти Гонконга вычисляли пользователей, которые состоят в протестных группах Telegram. Данные нескольких тысяч пользователей телеграм-канала были опубликованы в России в 2019 году (как показало расследование, источником данных является МВД).


Известно, что для краулинга российских пользователей работает программа-деанонимизатор Insider Telegram. Разработчики говорят, что перебор номеров позволил составить базу из более чем 10 млн пользователей. Сервис якобы показывает, какой номер телефона соответствует аккаунту Telegram.


Insider Telegram работает в составе системы «Демон Лапласа» (только для юрлиц и государственных органов), ходят слухи об аналогичной системе «Криптоскан» и других разработках.

Есть свидетельства, что силовые структуры Беларуси тоже начинают использовать аналогичные техники краулинга, как в России, поскольку сейчас Telegram стал основным инструментом общения у граждан.

Атака на мессенджеры: результаты

Немецкие исследователи в своей научной работе продемонстрировали два вида атак на мессенджеры:
  • обращение хэша: создание больших словарей со всеми возможными значениями хэшей для всех телефонных номеров в мире, брутфорс в hashcat, радужные таблицы новой конструкции.
  • краулинг: в течение нескольких недель исследователи смогли проверить 10% всех номеров мобильных телефонов США в WhatsApp и 100% в Signal. Результаты показаны в таблице ниже.

Сравнение мессенджеров

Для краулинга исследователи использовали скромные ресурсы:
  • бесплатное приложение Hushed для регистрации клиентов с новыми телефонными номерами; (скриншот)
  • подписка VPN для смены IP-адресов;
  • один ноутбук с эмуляторами нескольких Android-устройств.

Для краулинга контактов WhatsApp в эмуляторе запускалось официальное приложение, с интерфейсом которого взаимодействовал фреймворк UI Automator. В адресную книгу устройства для начала вставили 60 000 телефонных номеров. Если кто-то из них зарегистрирован в WhatsApp, то извлекались данные его профиля. Новые аккаунты WhatsApp регистрировались в ручном режиме через фейковые телефонные номера Hushed.

Коммуникация с Telegram производилась через официальную библиотеку TDLib, которая выпускается для многих языков и платформ. Любое приложение можно выдать за клиент Telegram, если интегрировать библиотеку TDLib и получить аутентификационный токен, что делается с минимальными усилиями.

Для Signal был написан скрипт Python для отправки запросов на регистрацию и поиска контактов.

Исследователи выяснили лимиты на количество запросов в каждом мессенджере, а также ряд других интересных фактов. Например, что Telegram API раскрывает конфиденциальные метаданные, в том числе о телефонах, не зарегистрированных в Telegram и о количестве пользователей, у которых в адресной книге есть этот незарегистрированный номер (см. описание переменной importer_count в документации Telegram API).

WhatsApp и Telegram передают контактную информацию открытым текстом (по зашифрованным каналам). WhatsApp хранит номера зарегистрированных пользователей на серверах в открытом виде, а номера незарегистрированных пользователей хэширует в MD5.

Signal не хранит контакты из адресных книг пользователей на сервере. Вместо этого каждый клиент периодически отправляет на сервер хэши всех своих контактов для сверки с базой зарегистрированных пользователей. Но эти хэши легко расшифровать.

Выводы

В научной работе исследователи количественно оценили усилия, злоумышленникам для сбора конфиденциальных данных пользователей в большом масштабе. К сожалению, это по-прежнему возможно даже с относительно скромными ресурсами для атаки.

Сейчас у 50% пользователей WhatsApp фотография аккаунта выложена в открытый доступ, а у 90% открыта информация «О себе». Интересно, что у 40% пользователей защищённого и приватного мессенджера Signal имеются полностью открытые профили в WhatsApp.

До публикации этой работы результаты были отправлены в WhatsApp, Signal и Telegram. Компания Signal признала проблему, уменьшила лимиты на количество запросов и пообещала внедрить другие методы защиты от краулинга. Facebook выплатил исследователям вознаграждение за найденные уязвимости и развернул улучшенную защиту для синхронизации контактов WhatsApp. Наконец, Telegram разработал дополнительные контрмеры против скрапинга данных в пределах установленных лимитов. Теперь система пытается определить краулинг базы номеров по специфическим признакам — и блокирует его после 20-100 совпадений вместо 5000.

На сегодняшний день Telegram лучше всех мессенджеров борется с краулингом пользователей. После гонконгских протестов 2019 года с утечкой персональных данных юзеров протестных групп в Telegram были установлены жёсткие лимиты и таймауты, которые делают краулинг очень сложной технической задачей.

По мнению авторов, в настоящее время наиболее эффективная мера защиты для пользователей заключается в пересмотре настроек конфиденциальности. Крайне нежелательно оставлять значения по умолчанию. Для максимальной безопасности в условиях государственной слежки лучше регистрировать аккаунт в мессенджере на фейковый номер.

Источник

_________________

WIN11/23H2(22631)Pro
SLYNN
Стаж: 3 года 7 мес.
Сообщений: 216
Ratio: 98.656
Раздал: 11.99 TB
100%
finland.gif
Qixis писал(а): Перейти к сообщению
почему вы думаете что у нас каждый человек убийца, террорист

Если вы так уверены, что за конфиденциальность борются только убийцы и террористы, мне с вами не о чем разговаривать. Включайте телеметрию и отключайте блокировщики рекламы на всех своих устройствах.
kalt12 писал(а): Перейти к сообщению
нам больно наплевать на все чьи либо попытки, хоть что то скрыть в сети

Когда вы в очередной раз будете там на что-то плевать, вспомните, что на вас плюют сверху точно так же. Просто вы этого упорно не хотите замечать. Так вот конфиденциальность в сети есть ни что иное как защита от этого плевка, его парирование.

_________________
По возможности используйте ПО с открытым исходным кодом. Почти всегда есть альтернатива проприетарному ПО!
kalt12
Uploader 100+
Стаж: 11 лет 4 мес.
Сообщений: 8068
Ratio: 202.113
100%
russia.gif
SLYNN писал(а): Перейти к сообщению
Когда

...Да никогда не поздно знать, что анонимность в сети понятие условное. Так же как и известность. Что ведомо вам, то и другие знают. А вы как хотели? Создайте сеть из кухни в спальню и узнаете всё о происходящем в них... :D
WildPredator
Uploader 100+
Стаж: 13 лет 5 мес.
Сообщений: 381
Ratio: 58.38
100%
Хорошо сопоставили: «государственные службы и другие злоумышленники» :)
ser477
Стаж: 15 лет
Сообщений: 6855
Ratio: 1.886
60.23%
Откуда: РОССИЯ
russia.gif
Любое государство стремится следить за своим народом. И не только за своим. КГБ ФСБ ФБР ЦРУ. Прослушивали телефонные разговоры, просматривали корреспонденцию. Так что ничего нового.
Bomstix
Стаж: 3 года 6 мес.
Сообщений: 71
Ratio: 2.089
0%
Только бы отвадить от одних месенджеров и пересадить на свои месенджеры))
kalt12
Uploader 100+
Стаж: 11 лет 4 мес.
Сообщений: 8068
Ratio: 202.113
100%
russia.gif
...От чего же не новое? АНБ и другие заграничные спецслужбы свои государства защищают, а вовсе не следят за народом. Это ли да ещё и здесь не новость?.. :подмигивание:
ser477
Стаж: 15 лет
Сообщений: 6855
Ratio: 1.886
60.23%
Откуда: РОССИЯ
russia.gif
kalt12 писал(а): Перейти к сообщению
...От чего же не новое? АНБ и другие заграничные спецслужбы свои государства защищают, а вовсе не следят за народом. Это ли да ещё и здесь не новость?.. :подмигивание:

:смех: Сноудена почитайте. АНБ шпионит по всему миру. Яровая пока не дотянулась )
Михаил
 
Стаж: 13 лет 2 мес.
Сообщений: 21356
Ratio: 22.972
100%
LORDNEC писал(а): Перейти к сообщению
Для работы простой телеграмм мне,например, не подходит.
Зачастую приходится передавать информацию(в т.ч. документы ) людям(сотрудникам),которые безалаберно относятся к ее хранению...а когда она приходит в шифрованном виде,шифрованно хранится на их устройстве и расшифровывается только в момент непосредственного к ней обращения через мессенджер после аутентификации ...и также "безвозвратно" удаляется из кеша(в шифрованной области памяти)...Вероятность возникновения головной боли связанной с устранением последствий для меня меньше...

И телеграм...кому он нужен для аля экосистема телеграмм и просто с друзьями пообщаться...но большинство при этом используют тот же Вайбер или еще хуже фейсбуковский мессенджер...Которые,к слову,у нас хранится на отдельном телефоне...а кому нужна более анонимная связь...

кто же документы и прочую важную информацию тем паче документы передает через такую п----у как андроидные мессенджеры, простите.
нет нормально защищенного компьютера? факса, емейла и прочего?
Но не андроиды?
или у Вас всё Макосы эпплы? на Вашем конце и на том?

или я что-то не понял и Вы и Ваши коллеги всё же передают информацию не через стеклянные телефоны, десктопы-ноутбуки с более-менее нормальными ос а хотя бы зашифрованные хотя бы зипом или AES Crypt?
кстати на андроидах тоже можно шифровать данные и передавать их с паролями
пароль скажем другим макаром через СМС или другой мессенджер для паролей

если передать так просто - считайте - выложили в открытый доступ
kalt12
Uploader 100+
Стаж: 11 лет 4 мес.
Сообщений: 8068
Ratio: 202.113
100%
russia.gif
:D ...Не новость значит? :задумался: Может быть, может быть... :подмигивание:
LORDNEC
Стаж: 13 лет 1 мес.
Сообщений: 247
Ratio: 44.45
Раздал: 3.504 TB
27.95%
ussr.gif
kalt12,тролли они и в Африке тролли.
Никто не говорит об отсутствии цифрового следа ,и вы это понимаете,говорят о его минимизации и затруднениях к возможности его отследить.

_________________
Всеобщая декларация прав человека, статья 19:
"Каждый человек имеет право на свободу убеждений и на свободное выражение их; это право включает свободу беспрепятственно придерживаться своих убеждений и свободу искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ."
ser477
Стаж: 15 лет
Сообщений: 6855
Ratio: 1.886
60.23%
Откуда: РОССИЯ
russia.gif
Тролли не собираются ничего минимизировать. Хайп - это всё, что им нужно.
Ежегодно они поднимают пену по поводу очередной утечки данных. И ничего не меняется. Сегодня один софт слил инфу, завтра второй. И так будет вечно.
Дабы не поддерживать этот хайп пошел спать.
kalt12
Uploader 100+
Стаж: 11 лет 4 мес.
Сообщений: 8068
Ratio: 202.113
100%
russia.gif
LORDNEC
...Вы тоже всё прекрасно понимаете, что ничего не надо отслеживать. Оно просто есть. Вопрос дешифровки, так же уже не вопрос. Всё остальное вокруг этой темы беллетристика. Ну и чего воду то зря лить?.. :D
LORDNEC
Стаж: 13 лет 1 мес.
Сообщений: 247
Ratio: 44.45
Раздал: 3.504 TB
27.95%
ussr.gif
kalt12,а тут не банят за провокацию на флейм?

_________________
Всеобщая декларация прав человека, статья 19:
"Каждый человек имеет право на свободу убеждений и на свободное выражение их; это право включает свободу беспрепятственно придерживаться своих убеждений и свободу искать, получать и распространять информацию и идеи любыми средствами и независимо от государственных границ."
Qixis
Стаж: 9 лет 6 мес.
Сообщений: 53
Ratio: 7.657
Раздал: 4.856 TB
Поблагодарили: 162
85.42%
Откуда: Краснодар
russia.gif
SLYNN писал(а): Перейти к сообщению

Если вы так уверены, что за конфиденциальность борются только убийцы и террористы, мне с вами не о чем разговаривать. Включайте телеметрию и отключайте блокировщики рекламы на всех своих устройствах.


Вас куда-то понесло уже. Разговор был про то что кто-то может узнать ник в Whatsapp или Telegram по номеру телефона (если в настройках разрешить это). Причем тут телеметрия и блокировщики рекламы? Если вы не террорист, всем пофиг на ваш ник и никто не будет вас искать.
ValkaTR
Стаж: 3 года 6 мес.
Сообщений: 3
Ratio: 2.037
0%
Откуда: Таллинн
estonia.gif
ужасная функция.
мне она не нравится.

_________________
~(__^>
Показать сообщения:   
Начать новую тему   Ответить на тему    Торрент-трекер NNM-Club -> Поговорим -> А знаете ли вы.. Часовой пояс: GMT + 3
Страницы:   Пред.  1, 2, 3, 4, 5, 6  След.
Страница 4 из 6