WhatsApp, Signal and Telegram put users' privacy at risk
09:52 / 17 September, 2020
Using contact lookup services, attackers can collect large amounts of sensitive data.
Popular mobile messengers disclose the personal data of users through services that allow you to find contacts by phone numbers stored in the address book, approves a joint research team from the University of Würzburg and the Technical University of Darmstadt.
When installing a mobile messenger, for example, WhatsApp, new users can immediately send messages to existing contacts contained in the phone. To do this, you will need to allow the application to access the contact list and constantly download the address book data to the company's servers.
Using a small amount of resources, the researchers parsed the popular messengers WhatsApp, Signal and Telegram and came to disappointing conclusions.
As it turned out, using services to search for contacts by random numbers, attackers can collect large amounts of important data. As part of the study, specialists through contact search services checked 10% of the numbers of WhatsApp users in the United States and 100% of the numbers of Signal users. In this way, they were able to collect personal metadata, usually contained in the profiles of users of instant messengers, including profile pictures, aliases, status data and the time of the last time they were online.
Data analysis revealed interesting aspects of user behavior, for example, only a few changed the default privacy settings, which in most messengers pose a risk to users.
It also found that approximately 50% of WhatsApp users have a public profile picture, and 90% of users do not hide information in the About section. At the same time, 40% of users of the privacy-focused messenger Signal also have WhatsApp profiles, and every second such profile is public. In the case of Telegram, the contact search service revealed information even about the owners of phone numbers that were not registered in the messenger.
According to experts, the nature of the information disclosed by a contact lookup service depends on the service provider and the user's privacy settings. For example, WhatsApp and Telegram transmit the entire contact list to their servers, while Signal sends only short hashes of phone numbers.
Experts informed the developers of instant messengers about the research results. As a result, WhatsApp improved its defense mechanism to detect such attacks, and Signal developers reduced the number of attempts to request a phone number as a protective measure.
More details: https://www.securitylab.ru/news/512202.php
www.securitylab.ru
09:52 / 17 September, 2020
Using contact lookup services, attackers can collect large amounts of sensitive data.
Popular mobile messengers disclose the personal data of users through services that allow you to find contacts by phone numbers stored in the address book, approves a joint research team from the University of Würzburg and the Technical University of Darmstadt.
When installing a mobile messenger, for example, WhatsApp, new users can immediately send messages to existing contacts contained in the phone. To do this, you will need to allow the application to access the contact list and constantly download the address book data to the company's servers.
Using a small amount of resources, the researchers parsed the popular messengers WhatsApp, Signal and Telegram and came to disappointing conclusions.
As it turned out, using services to search for contacts by random numbers, attackers can collect large amounts of important data. As part of the study, specialists through contact search services checked 10% of the numbers of WhatsApp users in the United States and 100% of the numbers of Signal users. In this way, they were able to collect personal metadata, usually contained in the profiles of users of instant messengers, including profile pictures, aliases, status data and the time of the last time they were online.
Data analysis revealed interesting aspects of user behavior, for example, only a few changed the default privacy settings, which in most messengers pose a risk to users.
It also found that approximately 50% of WhatsApp users have a public profile picture, and 90% of users do not hide information in the About section. At the same time, 40% of users of the privacy-focused messenger Signal also have WhatsApp profiles, and every second such profile is public. In the case of Telegram, the contact search service revealed information even about the owners of phone numbers that were not registered in the messenger.
According to experts, the nature of the information disclosed by a contact lookup service depends on the service provider and the user's privacy settings. For example, WhatsApp and Telegram transmit the entire contact list to their servers, while Signal sends only short hashes of phone numbers.
Experts informed the developers of instant messengers about the research results. As a result, WhatsApp improved its defense mechanism to detect such attacks, and Signal developers reduced the number of attempts to request a phone number as a protective measure.
More details: https://www.securitylab.ru/news/512202.php
WhatsApp, Signal и Telegram подвергают риску конфиденциальность пользователей
С помощью сервисов поиска контактов злоумышленники могут собирать большие объемы важных данных.
www.securitylab.ru
Original message
WhatsApp, Signal и Telegram подвергают риску конфиденциальность пользователей
09:52 / 17 Сентября, 2020
С помощью сервисов поиска контактов злоумышленники могут собирать большие объемы важных данных.
Популярные мобильные мессенджеры раскрывают персональные данные пользователей через сервисы, позволяющие найти контакты по номерам телефонов, хранящихся в адресной книге, утверждает совместная команда исследователей из Вюрцбургского университета и Дармштадтского технического университета.
При установке мобильного мессенджера, например, WhatsApp, новые пользователи могут сразу отправлять сообщения существующим контактам, содержащимся в телефоне. Для этого потребуется разрешить приложению доступ к списку контактов и постоянную загрузку данных адресной книги на серверы компании.
Задействовав небольшое количество ресурсов, исследователи осуществили парсинг популярных мессенджеров WhatsApp, Signal и Telegram и пришли к неутешительным выводам.
Как оказалось, с помощью сервисов поиска контактов по рандомным номерам злоумышленники могут собирать большие объемы важных данных. В рамках исследования специалисты через сервисы поиска контактов проверили 10% номеров пользователей WhatsApp в США и 100% номеров пользователей Signal. Таким образом он смогли собрать личные метаданные, обычно содержащиеся в профилях пользователей мессенджеров, включая фото профиля, псевдонимы, данные о статусе и время последнего пребывания online.
Анализ данных показал интересные аспекты поведения пользователей, например, только немногие изменяли дефолтные настройки конфиденциальности, которые в большинстве мессенджеров представляют риск для пользователей.
Также выяснилось, что примерно 50% пользователей WhatsApp имеют общедоступную фотографию профиля, а 90% пользователей не скрывают информацию в разделе About. При этом 40% пользователей мессенджера Signal, ориентированного на конфиденциальность, также имеют профили в WhatsApp и каждый второй такой профиль - публичный. В случае Telegram сервис поиска контактов раскрывал информацию даже о владельцах номеров телефонов, не зарегистрированных в мессенджере.
По словам экспертов, характер информации, раскрываемый сервисом поиска контактов, зависит от провайдера сервиса и настроек конфиденциальности пользователей. К примеру, WhatsApp и Telegram передают на свои серверы весь список контактов, Signal же отправляет только короткие хеши номеров телефонов.
Специалисты проинформировали разработчиков мессенджеров о результатах исследования. В итоге WhatsApp усовершенствовала механизм защиты для обнаружения подобных атак, а разработчики Signal в качестве защитной меры снизили число попыток запросов по номеру телефона.
Подробнее: https://www.securitylab.ru/news/512202.php
www.securitylab.ru
09:52 / 17 Сентября, 2020
С помощью сервисов поиска контактов злоумышленники могут собирать большие объемы важных данных.
Популярные мобильные мессенджеры раскрывают персональные данные пользователей через сервисы, позволяющие найти контакты по номерам телефонов, хранящихся в адресной книге, утверждает совместная команда исследователей из Вюрцбургского университета и Дармштадтского технического университета.
При установке мобильного мессенджера, например, WhatsApp, новые пользователи могут сразу отправлять сообщения существующим контактам, содержащимся в телефоне. Для этого потребуется разрешить приложению доступ к списку контактов и постоянную загрузку данных адресной книги на серверы компании.
Задействовав небольшое количество ресурсов, исследователи осуществили парсинг популярных мессенджеров WhatsApp, Signal и Telegram и пришли к неутешительным выводам.
Как оказалось, с помощью сервисов поиска контактов по рандомным номерам злоумышленники могут собирать большие объемы важных данных. В рамках исследования специалисты через сервисы поиска контактов проверили 10% номеров пользователей WhatsApp в США и 100% номеров пользователей Signal. Таким образом он смогли собрать личные метаданные, обычно содержащиеся в профилях пользователей мессенджеров, включая фото профиля, псевдонимы, данные о статусе и время последнего пребывания online.
Анализ данных показал интересные аспекты поведения пользователей, например, только немногие изменяли дефолтные настройки конфиденциальности, которые в большинстве мессенджеров представляют риск для пользователей.
Также выяснилось, что примерно 50% пользователей WhatsApp имеют общедоступную фотографию профиля, а 90% пользователей не скрывают информацию в разделе About. При этом 40% пользователей мессенджера Signal, ориентированного на конфиденциальность, также имеют профили в WhatsApp и каждый второй такой профиль - публичный. В случае Telegram сервис поиска контактов раскрывал информацию даже о владельцах номеров телефонов, не зарегистрированных в мессенджере.
По словам экспертов, характер информации, раскрываемый сервисом поиска контактов, зависит от провайдера сервиса и настроек конфиденциальности пользователей. К примеру, WhatsApp и Telegram передают на свои серверы весь список контактов, Signal же отправляет только короткие хеши номеров телефонов.
Специалисты проинформировали разработчиков мессенджеров о результатах исследования. В итоге WhatsApp усовершенствовала механизм защиты для обнаружения подобных атак, а разработчики Signal в качестве защитной меры снизили число попыток запросов по номеру телефона.
Подробнее: https://www.securitylab.ru/news/512202.php
WhatsApp, Signal и Telegram подвергают риску конфиденциальность пользователей
С помощью сервисов поиска контактов злоумышленники могут собирать большие объемы важных данных.
www.securitylab.ru
