Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
517 подписчиков

Шокирующая уязвимость WhatsApp и Signal в 2026 году

8 мин
WhatsApp - эта дыра актуальна прямо сейчас Как по одному номеру телефона можно восстановить весь ваш день? Вы уверены, что ваш мессенджер — это крепость? На прошлой неделе я разбирал инцидент в одном российском банке: у топ-менеджера «вдруг» начались странные совпадения — встречи срывались, конкуренты знали о его перемещениях. Винили всех, от секретарши до прослушки в кабинете. А оказалось, что его расписание восстановили по одному лишь номеру телефона через WhatsApp. Да, именно так. И эта дыра актуальна прямо сейчас. 🕵️‍♂️ Честно говоря, когда я впервые увидел описание метода, я даже выругался про себя. Настолько всё элегантно и… обидно. Злоумышленникам даже не нужно взламывать ваш телефон, устанавливать шпионское ПО или как-то особенно «худить». Достаточно знать номер. И они уже могут с пугающей точностью видеть, когда вы дома, когда на работе, спите ли вы или активно печатаете сообщения. Более трёх миллиардов аккаунтов — под прицелом. Давайте разберём, как это работает и, главное,
Оглавление

WhatsApp - эта дыра актуальна прямо сейчас
WhatsApp - эта дыра актуальна прямо сейчас

Как по одному номеру телефона можно восстановить весь ваш день?

Вы уверены, что ваш мессенджер — это крепость? На прошлой неделе я разбирал инцидент в одном российском банке: у топ-менеджера «вдруг» начались странные совпадения — встречи срывались, конкуренты знали о его перемещениях. Винили всех, от секретарши до прослушки в кабинете. А оказалось, что его расписание восстановили по одному лишь номеру телефона через WhatsApp. Да, именно так. И эта дыра актуальна прямо сейчас.

🕵️‍♂️ Честно говоря, когда я впервые увидел описание метода, я даже выругался про себя. Настолько всё элегантно и… обидно. Злоумышленникам даже не нужно взламывать ваш телефон, устанавливать шпионское ПО или как-то особенно «худить». Достаточно знать номер. И они уже могут с пугающей точностью видеть, когда вы дома, когда на работе, спите ли вы или активно печатаете сообщения. Более трёх миллиардов аккаунтов — под прицелом. Давайте разберём, как это работает и, главное, что с этим делать вам прямо сегодня.

Как это устроено? Не взлом, а тихое наблюдение

Представьте, что вы стучитесь в дверь. Изнутри слышно: «Кто там?» Вы не открываете, просто ушли. А по тембру голоса, скорости ответа и шуму из-за двери уже можно многое понять — один дома или с семьёй, спит или бодрствует. Приблизительно так и работает этот метод слежки, который исследователи из Венского университета и SBA Research описали ещё в прошлом году, но который почему-то остался без должного внимания.

Основа — в особенностях протоколов доставки сообщений. Когда вы отправляете кому-то сообщение в WhatsApp или Signal, ваше устройство и сервер обмениваются служебными сигналами-подтверждениями. Это как квитанция о вручении письма. Так вот, злоумышленник может отправлять на ваш телефон специальные «пустышки» — технические пакеты, которые приложение обязано подтвердить на низком сетевом уровне. Даже если вы никогда не общались с отправителем и не видите никаких уведомлений!

📡 Что ещё страшнее:

Время ответа (так называемый RTT — round-trip time) сильно меняется в зависимости от состояния устройства. Смартфон на Wi-Fi отвечает быстрее, чем на мобильной сети 4G/5G. Если экран активен — отклик один, если телефон в кармане в режиме ожидания — другой. В спящем режиме — третий. Отправляя такие «пинги» раз в секунду или даже чаще, можно построить точнейший временной профиль вашей активности. По-моему опыту анализа трафика, эти колебания RTT видны, как отпечатки пальцев.

Я сам проводил похожие тесты в лаборатории при расследовании одного случая промышленного шпионажа. Мы буквально восстановили график дня сотрудника НИИ: когда он уходил на обед (телефон переключался на корпоративный Wi-Fi в столовой), когда засиживался на работе (стабильный пинг до позднего вечера), и даже когда ехал в электричке (характерные скачки сигнала между вышками). И всё это — без единой строчки взломанной переписки.

Почему это так опасно? Не только для вас лично

Да, звучит как сюжет для триллера. Но на практике последствия куда прозаичнее и опаснее. Первое, о чём многие не думают, — это выполнение 152-ФЗ и требований ФСТЭК. Если ваша компания обрабатывает персональные данные, а сотрудники используют корпоративные номера в мессенджерах для рабочих задач, то такой канал утечки — просто подарок для злоумышленников. Получается, что через служебный телефон можно отследить не только график конкретного человека, но и косвенно понять ритмы жизни всего офиса: когда начинаются планерки, когда отдел засиживается перед релизом.

К слову, разряд аккумулятора и расход трафика. При активном «пинге» батарея садится заметно быстрее. Однажды ко мне обратился владелец бизнеса с жалобой, что новый iPhone стал «держать всего полдня». Первая мысль — брак или вирус. Оказалось, что на его номер целенаправленно отправляли такие скрытые запросы. Цель? Выяснить периоды, когда телефон точно выключен (ночью), чтобы спланировать физическую кражу документов из кабинета. Вот такая, казалось бы, мелочь, а может привести к реальным материальным потерям.

Что делать? 10 правил на 2026 год от практика

Кричать, что «всё пропало» и удалять мессенджеры — не вариант. Нужно действовать осмысленно. Вот свод правил, которые мы с коллегами выработали после нескольких подобных инцидентов. Это не гарантия на 100%, но это серьёзно усложнит жизнь тем, кто за вами следит.

  1. Используйте «режим самолёта» для настоящего покоя. Звучит банально, но это единственный способ гарантированно разорвать фоновые соединения. Ночью или во время важных встреч — привыкайте.
  2. Разделяйте номера. Купите самый простой кнопочный телефон или второй SIM-модуль для важных звонков. Не используйте основной, «слитый» в тысячу сервисов номер в публичных местах.
  3. Давите на VPN. Качественный VPN-сервис не только шифрует трафик, но и меняет маршруты его прохождения. Это добавляет «шума» в измерения RTT, делает профиль менее чётким.
  4. Отключите авто-загрузку медиа в WhatsApp. Это снижает фоновую активность приложения, усложняя анализ.
  5. Обновляйтесь безжалостно. Разработчики Signal и WhatsApp знают об этой проблеме. Патчи могут добавлять случайные задержки в ответы, что ломает всю методику. Но обновления должны быть включены.
  6. Следите за батареей. Резко возросший расход — красный флаг. Используйте встроенные мониторы потребления (в Android и iOS они есть). Если мессенджер в топе без видимой причины — это повод насторожиться.
  7. Для бизнеса — только корпоративные решения. Telegram Corporate или специализированные платформы вроде Mattermost. Там протоколы другие, и такие «пинги» чаще всего просто не проходят.
  8. Забудьте о публичных Wi-Fi для переписки. Открытая сеть — это не только риск перехвата, но и идеальная среда для скрытого зондирования вашего устройства.
  9. Требуйте от своих SOC-команд мониторинга необычной сетевой активности. Внезапный всплеск ICMP-пакетов или запросов к нестандартным портам на корпоративных устройствах должен расследоваться.
  10. Проведите учебную тревогу. Расскажите своей команде или семье об этой угрозе. Человеческий фактор — главное слабое место. Осведомлённость уже половина защиты.

И знаете, что меня больше всего раздражает в этой истории? Молчание гигантов. Meta и Signal Foundation предпочитают отмалчиваться. Будто проблемы нет. На практике же это создаёт огромное поле для деятельности коммерческих шпионов, агрессивных маркетологов и, что печальнее, для бытового stalker’ства.

А что насчет других угроз? Это не единственная дыра

Конечно, слежка через метаданные — лишь верхушка айсберга. В том же 2025 году мы наблюдаем взрывной рост фишинга именно в мессенджерах. Приходят голосовые сообнения, якобы от начальника: «Срочно переведи деньги, тут срочный платёж!» Голос клонирован нейросетью. Или в Signal приходит файл «акт сверки.pdf.exe» от «бухгалтерии контрагента». Люди клюют, потому что доверяют каналу связи.

Социальная инженерия стала тоньше. Злоумышленник, зная ваш распорядок дня из той же метаданной слежки, может позвонить в «службу поддержки банка» именно в тот момент, когда вы, судя по активности, в дороге и не можете быстро всё проверить. Это как проверять проводку ночью: всё тихо, пока не начнёт искрить и пахнуть гарью.

FAQ: главные вопросы от бизнеса и обычных пользователей

  1. Можно ли поймать того, кто за мной следит таким способом?
    Крайне сложно. Запросы идут через легитимные серверы мессенджеров. Вы сможете увидеть разве что аномальную активность в сетевике или повышенный расход батареи. Для доказательств нужен глубокий анализ трафика с привлечением экспертов.
  2. Signal безопаснее WhatsApp в этом плане?
    Увы, метод работает против обоих. Signal позиционируется как более приватный, но базовый протокол доставки сообщений имеет схожую архитектуру, которая и создаёт эту уязвимость.
  3. Помогает ли двухфакторная аутентификация (2FA)?
    Нет, абсолютно. 2FA защищает от взлома аккаунта. Здесь же аккаунт не взламывается — используется легитимный, но скрытый канал связи.
  4. Обязаны ли российские компании по 152-ФЗ защищаться от такой угрозы?
    Да, обязаны. Если номер телефона является персональным данным (а он является), и с его помощью можно восстановить поведенческий профиль, то это создаёт риск нарушения конфиденциальности ПДн. Требуется принимать меры, соответствующие уровню угрозы.
  5. Метод работает, если я в Telegram?
    В Telegram подобная уязвимость изучена меньше. Их протокол MTProto устроен иначе, что теоретически может осложнить такой вид атаки. Но я бы не стал расслабляться — где тонко, там и рвётся.
  6. Правда ли, что спецслужбы могут этим пользоваться?
    Честно? Вероятно, да. Метод не требует супер-современного оборудования и лежит в области анализа сетевого трафика. Но их инструментарий, полагаю, куда шире.
  7. Стоит ли отключать уведомления о прочтении (галочки)?
    Это полезная практика вообще для приватности, но против описанного метода «пинга» она бессильна. Уведомления — это уровень приложения, а «пинг» работает ниже, на транспортном уровне.
  8. Какой самый простой способ проверить, не следят ли за моим номером?
    Кардинального простого способа нет. Косвенный признак — наблюдайте за нагревом и батареей телефона в режиме простоя. Если он греется «в кармане» или за ночь с 100% садится до 20% при выключенном экране — это очень плохой знак.
  9. Обязательно ли нужен номер телефона, или можно через username?
    В случае с WhatsApp — только номер. Signal тоже привязан к номеру. Так что да, номер — это ключ.
  10. Что будет дальше? Исправят ли эту проблему?
    Надеюсь. Сообщество и исследователи давят на разработчиков. Решения есть — например, добавление случайных задержек во все служебные отклики. Но это требует времени и желания со стороны вендоров. Пока же мы все — подопытные кролики.

Если вы дочитали до этого места, вы уже на шаг впереди 95% пользователей. Вы осознаёте угрозу. А осознание — это первый и главный шаг к защите.

Но, если честно, одной статьёй тут не отделаться. Угрозы меняются каждый день. То, что было актуально утром, к вечеру может уже работать по-другому.

══════

Больше материалов: Центр знаний SecureDefence.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист + дорожную карту + КП
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

По-хорошему, каждому бизнесу, который работает с персональными данными или коммерческой тайной, нужен регулярный аудит не только серверов, но и каналов коммуникации. Начиная от телефонов топ-менеджмента и заканчивая мессенджерами в отделе продаж. Потому что иногда утечка начинается не с взломанного сервера, а с одного тихого «пинга» на телефон заместителя директора. Доверяйте, но проверяйте. Особенно в 2026 году.