Danny Weber
19:50 16-12-2025
© E. Vartanyan
Nytt POC visar Silent Whisper: med RTT‑mätningar kan aktivitet i WhatsApp och Signal kartläggas utan åtkomst till meddelanden. Så minskar du risken redan i dag.
Ett nytt verktyg har dykt upp på nätet som demonstrerar sårbarheten Silent Whisper och gör det möjligt att övervaka aktivitet hos WhatsApp- och Signal-användare med enbart ett telefonnummer. Det handlar inte om att bryta sig in i konton eller läsa meddelanden – metoden bygger på att analysera apparnas egna tekniska svar.
Angreppet bygger på att mäta svarstiden för leveransbekräftelser. WhatsApp och Signal svarar automatiskt på så kallade "pings", och en angripare kan analysera rundresponstiden (RTT) för dessa paket. Utifrån tidsvariationerna går det att avgöra om en enhet är aktiv, ansluten via wifi eller mobilnät, i viloläge eller helt offline.
Forskare i Wien beskrev Silent Whisper utförligt i fjol. Intresset har tagit fart igen sedan ett proof‑of‑concept‑verktyg dök upp på GitHub från användaren gommzystudio. Författaren uppger att det går att skicka upp till 20 förfrågningar per sekund utan att några aviseringar triggas på målenheten, vilket räcker för att bygga en ganska träffsäker bild av en persons aktivitet.
Bilder på analytiska diagram har också spridits och visar hur mätningarna tolkas. Skiftningar i latens avslöjar enhetens tillstånd och arbetssätt – en öppning för diskret kartläggning utan att röra själva meddelandeinnehållet. Det som sticker ut är hur lite som krävs för att ringa in när någon är uppkopplad eller borta från sin telefon.
Experter betonar att sårbarheten fortsatt är relevant. Som grundläggande försiktighet råds användare att begränsa meddelanden från okända konton och att uppdatera sina meddelandeappar i tid – pragmatiska steg som hjälper, även om de inte helt tar bort risken just nu.