Популярные мобильные мессенджеры раскрывают персональные данные пользователей через сервисы, позволяющие найти контакты по номерам телефонов, хранящихся в адресной книге, утверждает совместная команда исследователей из Вюрцбургского университета и Дармштадтского технического университета.

При установке мобильного мессенджера, например, WhatsApp, новые пользователи могут сразу отправлять сообщения существующим контактам, содержащимся в телефоне. Для этого потребуется разрешить приложению доступ к списку контактов и постоянную загрузку данных адресной книги на серверы компании.

Задействовав небольшое количество ресурсов, исследователи осуществили парсинг популярных мессенджеров WhatsApp, Signal и Telegram и пришли к неутешительным выводам.

Как оказалось, с помощью сервисов поиска контактов по рандомным номерам злоумышленники могут собирать большие объемы важных данных. В рамках исследования специалисты через сервисы поиска контактов проверили 10% номеров пользователей WhatsApp в США и 100% номеров пользователей Signal. Таким образом он смогли собрать личные метаданные, обычно содержащиеся в профилях пользователей мессенджеров, включая фото профиля, псевдонимы, данные о статусе и время последнего пребывания online.

Анализ данных показал интересные аспекты поведения пользователей, например, только немногие изменяли дефолтные настройки конфиденциальности, которые в большинстве мессенджеров представляют риск для пользователей.

Также выяснилось, что примерно 50% пользователей WhatsApp имеют общедоступную фотографию профиля, а 90% пользователей не скрывают информацию в разделе About. При этом 40% пользователей мессенджера Signal, ориентированного на конфиденциальность, также имеют профили в WhatsApp и каждый второй такой профиль — публичный. В случае Telegram сервис поиска контактов раскрывал информацию даже о владельцах номеров телефонов, не зарегистрированных в мессенджере.

По словам экспертов, характер информации, раскрываемый сервисом поиска контактов, зависит от провайдера сервиса и настроек конфиденциальности пользователей. К примеру, WhatsApp и Telegram передают на свои серверы весь список контактов, Signal же отправляет только короткие хеши номеров телефонов.

Специалисты проинформировали разработчиков мессенджеров о результатах исследования. В итоге WhatsApp усовершенствовала механизм защиты для обнаружения подобных атак, а разработчики Signal в качестве защитной меры снизили число попыток запросов по номеру телефона.

Источник: securitylab.ru