WhatsApp, Signal і Telegram піддають ризику конфіденційність користувачів, стверджує спільна команда дослідників з Вюрцбургського університету і Дармштадтського технічного університету.
Під час встановлення мобільного месенджера, наприклад, WhatsApp, нові користувачі можуть відразу відправляти повідомлення існуючим контактам, що містяться в телефоні. Для цього буде потрібно дозволити програмі доступ до списку контактів і постійне завантаження даних адресної книги на сервери компанії.
Задіявши невелику кількість ресурсів, дослідники здійснили парсинг популярних месенджерів WhatsApp, Signal і Telegram і прийшли до невтішних висновків.
Як виявилося, за допомогою сервісів пошуку контактів рандомними номерами зловмисники можуть збирати великі обсяги важливих даних. В рамках дослідження фахівці через сервіси пошуку контактів перевірили 10% номерів користувачів WhatsApp в США і 100% номерів користувачів Signal. Таким чином вони змогли зібрати особисті метадані, які зазвичай містяться в профілях користувачів месенджерів, включаючи фото профілю, псевдоніми, дані про статус і час останнього перебування online.
Аналіз даних показав цікаві аспекти поведінки користувачів, наприклад, мало хто змінювали дефолтні налаштування конфіденційності, які в більшості месенджерів представляють ризик для користувачів.
Також з’ясувалося, що приблизно 50% користувачів WhatsApp мають загальнодоступну фотографію профілю, а 90% користувачів не приховують інформацію в розділі About. При цьому 40% користувачів месенджера Signal, орієнтованого на конфіденційність, також мають профілі в WhatsApp і кожен другий такий профіль – публічний. У випадку Telegram сервіс пошуку контактів розкривав інформацію навіть про власників номерів телефонів, які не зареєстровані в месенджері.
За словами експертів, характер інформації, що розкривається сервісом пошуку контактів, залежить від провайдера сервісу і налаштувань конфіденційності користувачів. Наприклад, WhatsApp і Telegram передають на свої сервери весь список контактів, Signal же відправляє тільки короткі хеш-кодування номерів телефонів.
Фахівці поінформували розробників месенджерів про результати дослідження. В результаті WhatsApp удосконалила механізм захисту для виявлення подібних атак, а розробники Signal як захисний засіб знизили число спроб запитів за номером телефону.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як обмежити перегляд небажаного контенту для дітей у TikTok? Поради для батьків
Як заблокувати небажаний контакт у Facebook? – ІНСТРУКЦІЯ
Як зупинити відстеження небажаними програмами Вашої точної геолокації? ІНСТРУКЦІЯ
Як скопіювати файли на USB-накопичувач на Chromebook? – ІНСТРУКЦІЯ
Нагадаємо, виявили нову шпигунську кампанію проти користувачів Android, в рамках якої зловмисники поширюють “Pro-версію” TikTok. Шкідливе ПЗ здатне захоплювати контроль над базовими функціями пристрою – робити фотографії, читати і відправляти SMS-повідомлення, здійснювати телефонні дзвінки і запускати додатки.
Також співробітники компанії Facebook вручну переглядають запити на розкриття інформації користувачів, не перевіряючи електронні адреси тих, хто запитує доступ до порталів, призначених виключно для співробітників правоохоронних органів. Іншими словами, будь-хто, у кого є електронна адреса, може отримати доступ до порталів, де правоохоронні органи запитують дані про користувачів Facebook і WhatsApp.
З’явилася офіційно ОС Android 11, яка розповсюджується серед компаній-виробників смартфонів та розробників Android. Остання версія мобільної ОС Google фокусується на трьох ключових темах – людське життя, елементи керування та конфіденційність – і робить їх більш помітними на Вашому смартфоні.
Фахівці Колумбійського університету провели дослідження на предмет безпеки Android-додатків, і 306 додатків містили серйозні криптографічні уразливості. Найпоширенішими проблемами опинилися використання небезпечного генератора псевдовипадкових чисел, непрацюючі хеш-функції, використання режиму роботи CBC, повторне використання паролів (в тому числі ненадійних) тощо.
Уразливість BLURtooth можуть використовувати хакери для перезапису ключів аутентифікації Bluetooth. За допомогою уразливості BLURtooth зловмисник може маніпулювати компонентом CTKD для перезапису ключів аутентифікації Bluetooth і таким чином отримати доступ до підтримуючих Bluetooth сервісів і додатків на тому ж пристрої.
