Исследователи из Германии показали, что популярные мобильные мессенджеры предоставляют персональные данные с помощью сервисов обнаружения, которые позволяют пользователям находить контакты на основе телефонных номеров из их адресной книги.
При установке мобильного мессенджера, такого, например, как WhatsApp, новые пользователи могут мгновенно начать общаться с контактами, записанными в телефонную книгу на их устройстве. Для этого пользователи должны предоставить приложению разрешение на доступ и регулярную загрузку своей книги контактов на серверы компании, хотя в самих приложениях это называется просто «доступ к контактам».
Используя минимум ресурсов, исследователи смогли продемонстрировать возможность кражи персональных данных из таких мессенджеров, как WhatsApp, Telegram и некоторых других, позиционирующих себя как максимально защищённые. Результаты экспериментов показывают, что злоумышленники или хакеры могут собирать конфиденциальные данные в больших масштабах и без заметных ограничений, запрашивая службы обнаружения контактов для случайных телефонных номеров.
Исследователи смогли собрать личные (мета) данные, обычно хранящиеся в профилях пользователей мессенджеров, включая фотографии профилей, псевдонимы, тексты статусов и время последнего визита в мессенджер. Анализируемые данные также показывают интересную статистику о поведении пользователей. Например, около 50% пользователей WhatsApp в США имеют публичную фотографию профиля и 90% — публичный текст «о себе». Интересно, что 40% пользователей Telegram, которые, как можно предположить, больше заботятся о конфиденциальности в целом, также используют WhatsApp, и каждый второй из этих пользователей Telegram имеет публичную фотографию профиля в WhatsApp.
Отслеживание таких данных с течением времени позволяет злоумышленникам строить точные модели поведения. Когда данные сопоставляются в социальных сетях и общедоступных источниках данных, третьи лица также могут создавать подробные профили. Более того, для Telegram исследователи обнаружили, что его служба обнаружения контактов раскрывает конфиденциальную информацию даже о владельцах телефонных номеров, которые не зарегистрированы в мессенджере.
WhatsApp и Telegram передают всю адресную книгу пользователя на свои серверы. Исследовательская группа сообщила о своих выводах соответствующим поставщикам услуг.
Подпишись, чтобы быть в курсе.