即时消息应用程序的“命脉”使数十亿用户面临隐私攻击隐私泄露问题。根本原因在于这些应用的“联系人发现服务”允许用户根据通讯录中的电话号码查找联系人,同时也为隐私泄露打开了大门。移动信使隐私突破当安装WhatsApp等移动消息应用程序时,新用户可以立即开始根据设备上存储的电话号码向现有联系人发送文本消息。为此,用户必须授予应用程序访问权限,所谓的联系人自动发现功能也会定期将用户的地址簿上传到公司的服务器。但维尔茨堡大学安全软件系统组和达姆施塔特技术大学密码学和隐私工程组的研究人员最近的一项研究表明,目前主流移动消息应用程序部署的此类联系人发现服务对数十亿人的隐私构成严重威胁用户。研究人员仅使用少数资源,就对流行的消息应用程序WhatsApp、Signal和Telegram实施了爬虫攻击。实验结果表明,恶意用户或黑客可以通过查询联系人发现服务中的随机电话号码来大规模收集敏感数据,而没有明显的限制。攻击者可以建立准确的行为模型在一项更广泛的研究中,研究人员向WhatsApp查询了10%的美国所有手机号码,向Signal查询了100%。因此,他们能够收集通常存储在消息应用程序用户配置文件中的个人(元)数据,包括个人资料图片、昵称、状态文本和“上次在线”时间。分析的数据还揭示了有关用户行为的有趣统计数据。例如,很少有用户更改默认的隐私设置,这对于大多数消息应用程序来说根本不够“隐私友好”。研究人员发现,美国大约50%的WhatsApp用户拥有公开的头像,90%的用户拥有公开的“关于”文字。有趣的是,通常被认为更注重隐私的Signal用户中有40%也使用WhatsApp,更有趣的是,他们在WhatsApp上都有公开的头像。随着时间的推移跟踪此类数据,攻击者可以建立准确的行为模型。当数据在社交网络和公共数据源之间进行匹配时,第三方还可以构建详细的配置文件,例如针对受骗用户。在Telegram上,研究人员发现其联系人发现服务暴露了敏感信息,甚至包括未注册该服务的电话号码的所有者。在联系人发现期间显示哪些信息并且可以通过爬虫攻击收集哪些信息取决于服务提供商和用户的隐私设置。例如,WhatsApp和Telegram将用户的整个地址簿传输到他们的服务器。更多注重隐私的消息传递应用程序(如Signal)只能传输电话号码的短加密哈希值或依赖于受信任的硬件。然而,研究团队表明,通过新的优化攻击策略,电话号码的低熵使攻击者能够在几毫秒内从加密哈希中推断出相应的电话号码。此外,由于没有明显的用户注册限制,任何第三方都可以通过请求随机电话号码的数据来创建大量的即时通讯账户来爬取用户数据库信息。“我们强烈建议所有即时通讯应用程序的用户检查他们的隐私设置。这是目前针对我们调查的机器人攻击的最有效保护措施。”维尔茨堡大学的AlexandraDmitrienko教授和达姆施塔特工业大学的ThomasSchneider教授对此表示赞同。调查结果:服务提供商需要提高他们的安全性研究小组向各种IM服务提供商报告了他们的调查结果。因此,WhatsApp改进了其保护机制,以便可以检测到大规模攻击,而Signal减少了可能使爬行复杂化的查询数量。研究人员还提出了许多其他缓解技术,包括一种新的联系人发现方法,可用于进一步降低攻击的有效性而不会对可用性产生负面影响。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
