У WhatsApp знайшли нову вразливість, яка дозволяє стежити за користувачем і «випалювати» батарею телефона за допомогою реакцій.
Про це пише cyberinsider.com.
Новий інструмент під назвою Device Activity Tracker виявив стійку вразливість у системі відстеження активності користувачів WhatsApp та Signal, яка дозволяє зловмисникам таємно відстежувати дії користувачів, знаючи лише їхній номер телефону.
Для цього використовуються так звані квитанції про доставку. Обмін ними з сервером відбувається, коли користувач ставить реакцію на повідомлення або редагує свій старий пост. У такому випадку сервер надсилає повідомлення на телефон, але користувач його не бачить і не знає про його існування.
Дослідники з'ясували, що надсилаючи повідомлення-реакції на недійсні або неіснуючі ідентифікатори повідомлень, трекер на сервері отримує підтвердження доставки, що дозволяє оцінити час кругового шляху (RTT). Ці значення RTT дозволяють системі визначити, чи активен пристрій, чи він перебуває в режимі очікування або вимкнений. Користувач навіть не буде знати про це.
Надсилаючи запити постійно можна змусити батарею телефону «випалювати» себе і генерувати велику кількість трафіку. За годину йде близько 18% зарядки, а на тлі генерується до 13,3 ГБ прихованого інтернет-трафіку.
Найкращим доступним заходом захисту є увімкнення функції «Блокувати невідомі повідомлення» в налаштуваннях WhatsApp → Конфіденційність → Додатково. Однак WhatsApp не визначає, що вважається «великим обсягом», і зловмисники все ще можуть поринути у систему за помірного рівня деталізації.
