移动通讯程序使数十亿用户遭受隐私攻击

研究人员说，流行的移动通讯程序通过发现服务公开个人数据，该服务使用户可以根据通讯录中的电话号码查找联系人。

当安装类似WhatsApp的移动Messenger时，新用户可以立即基于存储在其设备上的电话号码开始向现有联系人发送短信。为此，用户必须授予该应用访问权限，并在称为移动联系人发现的过程中定期将其地址簿上传到公司服务器。

维尔茨堡大学安全软件系统小组和达姆施塔特工业大学的密码学和隐私工程小组的研究人员最近进行的一项研究表明，当前部署的联系发现服务严重威胁着数十亿用户的隐私。

利用很少的资源，研究人员能够对流行的Messenger WhatsApp，Signal和Telegram进行实际的爬网攻击。实验结果表明，恶意用户或黑客可以通过查询联系人发现服务中的随机电话号码来大规模收集敏感数据，而没有明显的限制。

攻击者可以建立准确的行为模型

在广泛的研究中，研究人员向WhatsApp查询了美国所有手机号码的10％，向Signal查询了100％。因此，他们能够收集通常存储在Messenger用户配置文件中的个人（元）数据，包括配置文件图片，昵称，状态文本和“上次在线”时间。

分析的数据还揭示了有关用户行为的有趣统计信息。例如，很少有用户更改默认的隐私设置，对于大多数Messenger来说，这些设置根本不是隐私友好的。

研究人员发现，在美国，约有50％的WhatsApp用户拥有公开的个人资料图片，有90％的是公开的“关于”文字。有趣的是，一般认为40％的Signal用户通常更关注隐私，他们也都在使用WhatsApp，而所有其他Signal用户在WhatsApp上都有公开的个人资料图片。

随着时间的推移跟踪此类数据，使攻击者能够建立准确的行为模型。当跨社交网络和公共数据源对数据进行匹配时，第三方也可以构建详细的配置文件，例如针对欺诈用户。

对于Telegram来说，研究人员发现其联系人发现服务会公开敏感信息，甚至包括未在该服务中注册的电话号码所有者。

哪些信息会在联系人发现期间显示并可以通过爬网攻击收集，取决于服务提供商和用户的隐私设置。例如，WhatsApp和Telegram会将用户的整个通讯簿传输到其服务器。

诸如信号之类的更多与隐私相关的Messenger只能传递电话号码的短加密哈希值或依赖于受信任的硬件。但是，研究团队表明，采用新的和经过优化的攻击策略，电话号码的低熵使攻击者能够在毫秒内从加密哈希值推断出相应的电话号码。

此外，由于没有明显的限制来注册消息传递服务，因此任何第三方都可以创建大量帐户，以通过请求随机电话号码的数据来爬网Messenger的用户数据库以获取信息。

“我们强烈建议所有Messenger应用的用户重新访问其隐私设置。这是目前针对我们调查的爬网攻击的最有效保护措施。” 维尔茨堡大学的 Alexandra Dmitrienko教授和达姆施塔特工业大学的 Thomas Schneider教授表示同意。

研究结果的影响：服务提供商改善其安全措施

研究小组向各自的服务提供商报告了他们的发现。结果，WhatsApp改进了其保护机制，从而可以检测到大规模攻击，Signal减少了可能使爬网复杂化的查询数量。

研究人员还提出了许多其他缓解技术，包括一种新的联系人发现方法，可以采用该方法来进一步降低攻击效率，而不会对可用性造成负面影响。