近日，安全研究人員發(fā)現(xiàn)一些主流的，甚至以隱私保護(hù)為賣點(diǎn)的即時通訊應(yīng)用，包括Whatsapp、Signal和Telegram都存在重大的隱私泄露問題。

根源在于，這些應(yīng)用的“聯(lián)系人發(fā)現(xiàn)服務(wù)”使用戶可以根據(jù)通訊錄中的電話號碼查找聯(lián)系人，同時也為隱私泄露敞開了大門。

[[342729]]

移動通訊程序的隱私爆點(diǎn)

當(dāng)安裝類似WhatsApp的移動即時通訊應(yīng)用時，新用戶可以立即基于存儲在其設(shè)備上的電話號碼開始向現(xiàn)有聯(lián)系人發(fā)送短信。為此，用戶必須授予該應(yīng)用訪問權(quán)限，這個所謂的聯(lián)系人自動發(fā)現(xiàn)功能還會定期將用戶的地址簿上傳到公司服務(wù)器。

但是維爾茨堡大學(xué)安全軟件系統(tǒng)小組和達(dá)姆施塔特工業(yè)大學(xué)的密碼學(xué)和隱私工程小組的研究人員最近進(jìn)行的一項(xiàng)研究表明，當(dāng)前主流移動通訊應(yīng)用部署的這種聯(lián)系人發(fā)現(xiàn)服務(wù)嚴(yán)重威脅著數(shù)十億用戶的隱私。

僅僅動用了很少的資源，研究人員就對流行的即時通訊應(yīng)用WhatsApp、Signal和Telegram實(shí)施了爬蟲攻擊。實(shí)驗(yàn)結(jié)果表明，惡意用戶或黑客可以通過查詢聯(lián)系人發(fā)現(xiàn)服務(wù)中的隨機(jī)電話號碼來大規(guī)模收集敏感數(shù)據(jù)，而沒有明顯的限制。

攻擊者可以建立準(zhǔn)確的行為模型

在范圍更廣的研究中，研究人員向WhatsApp查詢了美國所有手機(jī)號碼的10%，向Signal查詢了100%。因此，他們能夠收集通常存儲在即時通訊應(yīng)用用戶配置文件中的個人(元)數(shù)據(jù)，包括配置文件圖片、昵稱、狀態(tài)文本和“上次在線”時間。

分析的數(shù)據(jù)還揭示了有關(guān)用戶行為的有趣統(tǒng)計(jì)信息。例如，很少有用戶更改默認(rèn)的隱私設(shè)置，對于大多數(shù)即時通訊應(yīng)用來說，這些設(shè)置根本不夠“隱私友好”。

研究人員發(fā)現(xiàn)，在美國約有50%的WhatsApp用戶擁有公開的個人資料圖片，有90%公開“關(guān)于”文字。有趣的是，通常被認(rèn)為更加關(guān)注隱私的Signal用戶中有40%也在使用WhatsApp，更有趣的是他們在WhatsApp上都有公開的個人資料圖片。

隨著時間的推移跟蹤此類數(shù)據(jù)，使攻擊者能夠建立準(zhǔn)確的行為模型。當(dāng)跨社交網(wǎng)絡(luò)和公共數(shù)據(jù)源對數(shù)據(jù)進(jìn)行匹配時，第三方也可以構(gòu)建詳細(xì)的配置文件，例如針對性欺詐用戶。

Telegram方面，研究人員發(fā)現(xiàn)其聯(lián)系人發(fā)現(xiàn)服務(wù)會公開敏感信息，甚至包括未在該服務(wù)中注冊的電話號碼所有者。

哪些信息會在聯(lián)系人發(fā)現(xiàn)期間顯示并可以通過爬蟲攻擊收集，取決于服務(wù)提供商和用戶的隱私設(shè)置。例如，WhatsApp和Telegram會將用戶的整個通訊簿傳輸?shù)狡浞?wù)器。

諸如Signal之類的更關(guān)注隱私保護(hù)的即時通訊應(yīng)用只能傳輸電話號碼的短加密哈希值或依賴于受信任的硬件。但是，研究團(tuán)隊(duì)表明，采用新的和經(jīng)過優(yōu)化的攻擊策略，電話號碼的低熵使攻擊者能夠在毫秒內(nèi)從加密哈希值推斷出相應(yīng)的電話號碼。

此外，由于沒有明顯的用戶注冊限制，因此任何第三方都可以創(chuàng)建大量即時通訊賬戶，以通過請求隨機(jī)電話號碼的數(shù)據(jù)來用爬蟲抓取用戶數(shù)據(jù)庫的信息。

“我們強(qiáng)烈建議所有即時通訊應(yīng)用的用戶重新審查其隱私設(shè)置。這是目前針對我們調(diào)查的爬蟲攻擊的最有效保護(hù)措施。”維爾茨堡大學(xué)的 Alexandra Dmitrienko教授和達(dá)姆施塔特工業(yè)大學(xué)的 Thomas Schneider教授表示同意。

研究結(jié)果：服務(wù)提供商需要改善其安全措施

研究小組向各即時通訊服務(wù)提供商報告了他們的發(fā)現(xiàn)。結(jié)果，WhatsApp改進(jìn)了其保護(hù)機(jī)制，從而可以檢測到大規(guī)模攻擊，Signal減少了可能使爬網(wǎng)復(fù)雜化的查詢數(shù)量。

研究人員還提出了許多其他緩解技術(shù)，包括一種新的聯(lián)系人發(fā)現(xiàn)方法，可以采用該方法來進(jìn)一步降低攻擊效率，而不會對可用性造成負(fù)面影響。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文