Et nytt verktøy utnytter sårbarheten Silent Whisper til å kartlegge aktivitet i WhatsApp og Signal via RTT-målinger og viser hvor avslørende metadata kan være.
© E. Vartanyan
Et nytt verktøy har dukket opp på nettet som demonstrerer sårbarheten Silent Whisper og gjør det mulig å følge med på aktivitet i WhatsApp og Signal kun ved hjelp av et telefonnummer. Poenget er ikke å bryte seg inn i kontoer eller lese meldinger – metoden bygger på å analysere appenes egne tekniske svar, en nyttig påminnelse om hvor mye metadata faktisk kan avsløre.
Angrepet baserer seg på å måle svartiden på leveringskvitteringer. WhatsApp og Signal svarer automatisk på såkalte ping, og en angriper kan analysere rundturstiden (RTT) for disse datapakkene. Ut fra tidsmålingene kan man slutte om enheten er aktiv, koblet til via Wi‑Fi eller mobildata, i dvalemodus eller helt frakoblet. Små variasjoner i forsinkelse blir til store mønstre når de legges lag på lag.
Forskere i Wien beskrev Silent Whisper i detalj i fjor. Interessen har blusset opp igjen etter at et proof‑of‑concept‑verktøy dukket opp på GitHub fra en bruker som kaller seg gommzystudio. Ifølge forfatteren er det mulig å sende opptil 20 forespørsler i sekundet uten at målenheten får varsler, noe som holder til å tegne et ganske presist bilde av en persons aktivitet.
Det har også sirkulert bilder av analytiske grafer på nett som viser hvordan målingene tolkes. Skift i latenstid avslører enhetens tilstand og bruksmåte og åpner for diskret overvåking uten å berøre selve innholdet i meldingene – et talende eksempel på at trafikkmønstre kan bli like avslørende som tekst.
Eksperter påpeker at sårbarheten fortsatt er aktuell. Som enkle forholdsregler anbefales det å begrense meldinger fra ukjente kontoer og å oppdatere meldingsappene raskt – nøkterne grep som hjelper, selv om de ikke fjerner risikoen helt foreløpig. Det er neppe den siste runden i dragkampen mellom brukervennlighet og beskyttelse av metadata.