Danny Weber
19:54 16-12-2025
© E. Vartanyan
Új eszköz demonstrálja a Silent Whisper sebezhetőséget: a WhatsApp- és Signal-felhasználók aktivitása RTT-méréssel követhető. Védekezési és frissítési tanácsok.
Egy új eszköz bukkant fel az interneten, amely a Silent Whisper sebezhetőséget demonstrálja: pusztán egy telefonszám alapján követhetővé válik a WhatsApp‑ és Signal‑felhasználók aktivitása. Nem fiókfeltörésről vagy üzenetek elolvasásáról van szó — a módszer az alkalmazások saját technikai visszajelzéseinek elemzésére épít. Már ez is jelzi, hogy a biztonságban néha a láthatatlan részletek döntenek.
A támadás kulcsa a kézbesítési nyugták válaszidejének mérése. A WhatsApp és a Signal automatikusan reagál az úgynevezett pingekre, az RTT (round‑trip time) elemzéséből pedig következtetni lehet arra, hogy egy készülék aktív‑e, Wi‑Fi‑n vagy mobilneten van‑e, alvó módban működik‑e, vagy teljesen offline.
Bécsi kutatók tavaly részletesen feltárták a Silent Whispert; az érdeklődés most újra felpörgött, miután a GitHubon megjelent egy proof‑of‑concept eszköz egy gommzystudio nevű felhasználótól. A szerző szerint másodpercenként akár 20 kérés is elküldhető anélkül, hogy a célpont készülékén bármilyen értesítés megjelenne — ez már elég ahhoz, hogy viszonylag pontos képet adjon valaki aktivitásáról.
Elemző grafikonok képei is köröznek a neten, szemléltetve, miként értelmezik ezeket a méréseket. A késleltetés apró eltolódásai elárulják a készülék állapotát és működési módját, megnyitva az utat a nesztelen megfigyeléshez anélkül, hogy az üzenetek tartalmához hozzá kellene férni — és épp ez teszi nyugtalanítóvá a képet.
Szakértők szerint a sebezhetőség továbbra is napirenden van. Alapvető óvintézkedésként azt javasolják, hogy korlátozzuk az ismeretlen fiókoktól érkező üzeneteket, és a csevegőalkalmazásokat haladéktalanul frissítsük — józan lépések, még ha egyelőre nem is számolják fel teljesen a kockázatot.