メッセンジャーとアドレス帳の連絡先の同期（連絡先の検出）は非常に便利な機能です。新しい人がアプリケーションをインストールすると、連絡先の大きなリストが自動的にアプリケーションに追加され、誰かが最初にメッセンジャーをインストールした場合、これに関する通知がすべての友人に届きます。残念ながら、この機能は、政府機関やその他の攻撃者が人々を追跡するために使用する可能性があります。既存の保護方法はまだあまり効果的ではありません。



リークの規模は、ヴュルツブルク大学とダルムシュタット工科大学（ドイツ）の専門家によって推定され、史上最大の研究を実施しました。WhatsApp、Telegram、Signalの3つのメッセンジャーで電話番号をクロールします。結果は期待外れです。WhatsAppとSignalは大規模にユーザー数を漏らしています。



TelegramにはAPIリクエストの数に非常に厳しい制限がありますが、完全に安全というわけでもありません。

クローズドセットの交差プロトコル

開示せずに連絡先を検索するのは、クローズドセットの暗号化プロトコル交差点（プライベートセット交差点）です。この手法では、一方の入力セット（「クライアント」）ともう一方の入力セット（「サーバー」）の交差を計算して、クライアントが交差のセットのみを認識し、サーバーがクライアントの入力セットのサイズのみを認識できるようにします。



ただし、これらのプロトコルは現在、数十億のユーザーがいるモバイルアプリケーションには十分な効率がありません。さらに、PSIはブルートフォース攻撃を防ぐことができないため、プライバシーの問題を完全に解決できるわけではありません。

リークされたソーシャルグラフ

昨年のUSENIXSecurity 2019コンピューターセキュリティ会議で、多くのモバイルメッセンジャー（WhatsAppを含む）がすべてをサーバーにアップロードすることで連絡先を見つけやすくすることを証明するレポートが発表されました。ユーザーのアドレス帳から連絡先を取得し、一致するものが見つからない場合でも、サーバーに保存します。このおかげで、このサービスは、新しく登録された連絡先についてユーザーに通知するだけでなく、各人の完全なソーシャルグラフを作成することができます。これらの列は、他のソースからの情報で補足されています。プライバシーの主な問題は、連絡先情報が一般に漏洩し、詐欺、差別、ブラックメール、評判の低下、または警察の調査に使用される可能性があることです。メッセンジャーの開発者自身が蓄積されたベースを販売しなかったとしても、サーバーが危険にさらされる可能性があり、機密情報の開示につながります。



この脅威から保護するために、一部のモバイルアプリ（Signalを含む）は連絡先をハッシュします。残念ながら、電話番号のエントロピーが低いため、ハッシュを簡単に元に戻す（復号化する）ことができるため、この保護は効果がありません。

クロール

ただし、連絡先情報を収集する主な方法はクロールです。通常、このサービスには新規ユーザーの登録に関する制限がないため、アドレス帳のランダムな連絡先セットを使用して、任意の数の偽のアカウントを登録できます。したがって、データベース内の各電話番号の存在を確認し、所有者に関する入手可能な情報を収集します。



ユーザーはサーバーから連絡先に関する情報を要求できる必要があるため、サービスはこのような攻撃を完全にブロックすることはできません。唯一の防御方法は、リクエストの数を制限することです（攻撃について説明しているセクションの以下の表を参照してください）。



クロールの助けを借りて、ユーザーベースが収集されます。このデータベースには、電話番号に加えて、ユーザーが自分自身について示し、誰もが閲覧できるように開いた他の情報が含まれている場合があります。データベースに含まれる情報は、プライバシー設定によって異なります。大多数のユーザーはデフォルト設定を変更しないため、この側面もメッセンジャー開発者の管理下にあります。



以前の科学的研究は、メッセンジャーのユーザーメタデータ（オンラインでの登場時間）を追跡することにより、行動の正確なモデルを構築できることを示しています。







この情報を他のソーシャルネットワークや公開されているデータソースと比較することで、サードパーティはさらに詳細なプロファイルを作成できます。



商取引では、そのような知識は、個人的な観点から（ブラックメールや犯罪の計画のために）、そして国家の観点から、市民を起訴するために、標的を絞った広告や詐欺に使用されます。これは、香港当局がテレグラム抗議グループのメンバーであるユーザーを把握した方法です。テレグラムチャネルの数千人のユーザーのデータは、2019年にロシアで公開されました（調査が示したように、データのソースは内務省です）。







Insider Telegramの匿名化解除プログラムは、ロシアのユーザーをクロールするために機能することが知られています。開発者は、数字の列挙により、1,000万人を超えるユーザーのデータベースをコンパイルできると述べています。このサービスは、どの電話番号がTelegramアカウントに対応しているかを示しているとされています。











Insider Telegramは、Laplace Demonシステムの一部として機能します（法的エンティティと政府機関のみ）。同様のCryptoscanシステムやその他の開発についての噂があります。



テレグラムが市民の主要なコミュニケーションツールになっているため、ベラルーシの権力構造もロシアと同様のクロール技術を使用し始めているという証拠があります。

メッセンジャーへの攻撃：結果

ドイツの研究者は、科学研究において、インスタントメッセンジャーに対する2種類の攻撃を実証しました。

• ハッシュ反転：世界中のすべての電話番号のすべての可能なハッシュ値、ハッシュキャットのブルートフォース、新しいレインボーテーブルを使用した大きな辞書の作成。
  
  
• : 10% WhatsApp 100% Signal. .

クロールのために、研究者は適度なリソースを使用しました：

• 新しい電話番号で顧客を登録するための無料のHushedアプリ。
  
  
  
  
  
  
• IPアドレスを変更するためのVPNサブスクリプション。
  
  
• 複数のAndroidデバイスのエミュレーターを備えた1つのラップトップ。

WhatsAppの連絡先をクロールするために、UIAutomatorフレームワークが相互作用するインターフェイスを備えた公式アプリケーションがエミュレーターで起動されました。まず、60,000の電話番号がデバイスのアドレス帳に挿入されました。それらの1つがWhatsAppに登録されている場合、それらのプロファイルデータが取得されました。新しいWhatsAppアカウントは、偽のHushed電話番号を介して手動で登録されました。



Telegramとの通信は、多くの言語とプラットフォーム向けにリリースされている公式のTDLibライブラリを介して実行されました。 TDLibライブラリを統合し、最小限の労力で認証トークンを受け取ると、どのアプリケーションもTelegramクライアントとして渡すことができます。



Signalが登録要求を送信し、連絡先を検索するためのPythonスクリプトが作成されました。



研究者たちは、各メッセンジャーのリクエスト数の制限や、その他の興味深い事実を発見しました。電報のAPIがされている携帯電話について含め、機密メタデータを開示することを、例えば登録されていない電報で、そのアドレス帳にこの未登録の番号を（変数の説明を参照しているユーザーの数についてimporter_countで電報APIドキュメントを）。



WhatsAppとTelegramは、連絡先情報をクリアテキストで（暗号化されたチャネルを介して）送信します。 WhatsAppは、サーバー上の登録済みユーザーの数をクリアテキストで保存し、MD5の未登録ユーザーの数をハッシュします。



Signalは、ユーザーのアドレス帳からの連絡先をサーバーに保存しません。代わりに、各クライアントは定期的にすべての連絡先のハッシュをサーバーに送信して、登録済みユーザーのデータベースと照合します。しかし、これらのハッシュは簡単に解読できます。

結論

科学論文では、研究者は、攻撃者が機密ユーザーデータを大規模に収集するために行った努力を定量化しました。残念ながら、これは比較的控えめな攻撃リソースでも可能です。



現在、WhatsAppユーザーの50％が自分のアカウントの写真をパブリックドメインに投稿しており、90％が「自己紹介」情報を公開しています。興味深いことに、安全でプライベートなメッセンジャーSignalのユーザーの40％は、WhatsAppプロファイルを完全に開いています。



この作品の公開前に、結果はWhatsApp、Signal、Telegramに送信されました。 Signalは問題を認識し、要求制限を減らし、他のクロール防止方法を実装することを約束しました。 Facebookは、発見した脆弱性に対して研究者に報奨金を支払い、WhatsAppの連絡先を同期するための改善された保護を展開しました。最後に、Telegramは、確立された制限内でのデータスクレイピングに対する追加の対策を開発しました。現在、システムは特定の基準によって数値のベースのクロールを決定しようとしています-そして5000ではなく20〜100の一致後にそれをブロックします。



今日、テレグラムはクロールするユーザーと戦うための最高のメッセンジャーです。 2019年の香港の抗議の後、抗議グループのユーザーの個人データの漏洩Telegramには厳しい制限とタイムアウトがあり、クロールを非常に困難な技術的タスクにします。



著者によると、現在、ユーザーにとって最も効果的な保護手段は、プライバシー設定を改訂することです。デフォルト値のままにすることは非常に望ましくありません。政府による監視の状況で最大限のセキュリティを確保するには、メッセンジャーに偽の番号でアカウントを登録することをお勧めします。

---

広告

あなたがあなたの電子メールだけを必要とし、他の個人データを必要としない注文のための安全なVDS！最新のブランドのハードウェアを使用しており、各サーバーはDDoS攻撃から確実に保護されています。