Investigadores de la Universidad Técnica de Darmstadt y la Universidad de Würzburg mostraron que los mensajeros móviles populares exponen datos personales a través de servicios de descubrimiento que permiten por medio de un ataque cibernético móvil, encontrar contactos de su libreta de direcciones.
Al instalar un mensajero como WhatsApp, los nuevos usuarios pueden enviar mensajes de texto instantáneamente a los números de teléfono almacenados en su dispositivo. Usuarios otorgan permiso a la app para acceder y cargar regularmente su libreta de direcciones en los servidores de la empresa, en un proceso llamado descubrimiento de contactos móviles.
Un estudio reciente de un equipo de investigadores del Grupo de Sistemas de Software Seguro de la Universidad de Würzburg y el Grupo de Ingeniería de Criptografía y Privacidad de TU Darmstadt muestra que los servicios de descubrimiento de contactos actualmente implementados amenazan gravemente la privacidad de miles de millones de usuarios.
Utilizando muy pocos recursos, los investigadores pudieron realizar prácticos ataques de rastreo en los populares mensajeros WhatsApp, Signal y Telegram. Los resultados de los experimentos demuestran que los usuarios malintencionados o los piratas informáticos pueden recopilar datos confidenciales a gran escala y sin restricciones notables consultando los servicios de detección de contactos para obtener números de teléfono aleatorios.
Los atacantes pueden crear modelos de comportamiento precisos
Para el extenso estudio, los investigadores consultaron el 10% de todos los números de teléfonos móviles de EE. UU. Para WhatsApp y el 100% para Signal. De ese modo, pudieron recopilar (meta) datos personales que se almacenan comúnmente en los perfiles de usuario de los mensajeros, incluidas imágenes de perfil, apodos, textos de estado y el tiempo de la «última conexión».
Los datos analizados también revelan interesantes estadísticas sobre el comportamiento de los usuarios. Por ejemplo, muy pocos usuarios cambian la configuración de privacidad predeterminada, que para la mayoría de los mensajeros no es nada amigable con la privacidad.
Los investigadores encontraron que alrededor del 50% de los usuarios de WhatsApp en los EE. UU. Tienen una imagen de perfil público y el 90% un texto público de «Acerca de». Curiosamente, el 40% de los usuarios de Signal, que se puede suponer que están más preocupados por la privacidad en general, también están usando WhatsApp, y todos los demás usuarios de Signal tienen una imagen de perfil público en WhatsApp. El seguimiento de estos datos a lo largo del tiempo permite a los atacantes crear modelos de comportamiento precisos.
Cuando los datos se comparan en redes sociales y fuentes de datos públicas, se pueden crear perfiles detallados, por ejemplo, para estafar a los usuarios.
Los tres servicio son vulnerables al ataque cibernético móvil
Para Telegram, los investigadores encontraron que su servicio de descubrimiento de contactos expone información confidencial incluso propietarios de números de teléfono que no están registrados en el servicio.
La información que se revela durante el descubrimiento de contactos y se puede recopilar mediante ataques de rastreo y depende del proveedor de servicios y de la configuración de privacidad del usuario. WhatsApp y Telegram, por ejemplo, transmiten la libreta de direcciones completa del usuario a sus servidores.
Los mensajeros más preocupados por la privacidad, como Signal, transfieren solo valores hash criptográficos cortos de números de teléfono o dependen de hardware confiable. Sin embargo, el equipo de investigación muestra que con estrategias de ataque nuevas y optimizadas, la baja entropía de los números de teléfono permite a los atacantes deducir los números de teléfono correspondientes a partir de hashes criptográficos en milisegundos.
Dado que no existen restricciones importantes para registrarse en los servicios de mensajería, cualquier tercero puede crear una gran cantidad de cuentas para rastrear la base de datos de usuarios de un mensajero en busca de información solicitando datos para números de teléfono aleatorios. “Recomendamos encarecidamente a todos los usuarios de aplicaciones de mensajería que revisen su configuración de privacidad. Esta es actualmente la protección más eficaz contra nuestros ataques de rastreo investigados ”, coinciden la profesora Alexandra Dmitrienko (Universidad de Würzburg) y el profesor Thomas Schneider (TU Darmstadt).
Impacto de los resultados de la investigación: los proveedores de servicios mejoran sus medidas de seguridad
El equipo de investigación informó sus hallazgos a los respectivos proveedores de servicios. Como resultado, WhatsApp ha prometido mejorar sus mecanismos de protección de manera que se pueden detectar ataques a gran escala, y Signal ha reducido el número de posibles consultas para complicar el rastreo.
Los investigadores también propusieron muchas otras técnicas de mitigación de ataque cibernético móvil, incluido un nuevo método de descubrimiento de contactos. Este nuevo método podría adoptarse para reducir aún más la eficiencia de los ataques sin afectar negativamente la usabilidad.
Todos los resultados se describen en el documento «Todos los números son EE. UU.: Abuso a gran escala del descubrimiento de contactos en mensajeros móviles», de Christoph Hagen, Christian Weinert, Christoph Sendner, Alexandra Dmitrienko, Thomas Schneider, que se presentará en febrero de 2021 en el 28. Simposio anual de seguridad de redes y sistemas distribuidos (NDSS), una de las principales conferencias sobre seguridad de TI.
Con información de: https://scitechdaily.com
Documento completo: