Lees hoe Silent Whisper via RTT-metingen toont wanneer WhatsApp- en Signal-gebruikers actief zijn, zonder in te breken. Tips om het risico te verkleinen.
© E. Vartanyan
Online is een nieuw hulpmiddel opgedoken dat de kwetsbaarheid Silent Whisper zichtbaar maakt en het mogelijk maakt de activiteit van WhatsApp- en Signal-gebruikers te volgen met niets meer dan een telefoonnummer. Het gaat niet om het kraken van accounts of het meelezen van berichten—de methode leest simpelweg de technische reacties van de apps zelf.
De aanval draait om het meten van de reactietijd van afleverbevestigingen. WhatsApp en Signal beantwoorden automatisch zogenoemde pings, en een aanvaller kan de round‑trip time (RTT) van die pakketjes analyseren. Aan de hand van zulke timing valt af te leiden of een toestel actief is, via wifi of mobiele data verbonden, in slaapstand staat of volledig offline is. Wat als een technisch detail klinkt, blijkt in de praktijk een duidelijke gedragsmeter.
Onderzoekers in Wenen beschreven Silent Whisper vorig jaar uitgebreid. De belangstelling laaide opnieuw op nadat op GitHub een proof‑of‑concept-tool verscheen van een gebruiker met de naam gommzystudio. Volgens de maker is het mogelijk tot twintig verzoeken per seconde te sturen zonder meldingen op het doelapparaat te activeren, genoeg om een tamelijk nauwkeurig beeld van iemands activiteit te schetsen.
Online circuleren ook afbeeldingen van analytische grafieken die laten zien hoe deze metingen worden geïnterpreteerd. Verschuivingen in latentie verraden de toestand en de werkmodus van het apparaat en zetten de deur open voor discrete observatie, zonder de inhoud van berichten aan te raken—de timing vertelt al voldoende.
Volgens experts blijft de kwetsbaarheid actueel. Als basismaatregelen geldt het advies om berichten van onbekende accounts te beperken en berichtenapps snel bij te werken—pragmatische stappen die helpen, ook al nemen ze het risico voorlopig niet volledig weg.