Pengguna WhatsApp, Signal &Threema berisiko terkena lokasi; satu sedang mengerjakan perbaikan

Aplikasi pesan instan populer dapat mengekspos lokasi pengguna, lapor grup advokasi privasi digital Pulihkan Privasi.

Sebuah tim peneliti telah menemukan bahwa Ada apa, Sinyal, dan Threema memiliki kerentanan yang dapat dimanfaatkan oleh penjahat dunia maya untuk menentukan lokasi pengguna dengan akurasi lebih dari 80 persen.

Pemberitahuan status pengiriman dapat memberi tahu lokasi Anda

Orang dengan motif buruk dapat melakukan sesuatu yang disebut serangan waktu di mana musuh mencoba menyimpulkan lokasi pengguna dengan mengukur waktu yang diperlukan agar pesan mereka tersampaikan. Mereka mengandalkan status pengiriman pesan untuk informasi penting ini.

Ini dapat bekerja dengan baik karena jaringan internet dan infrastruktur server aplikasi perpesanan memiliki karakteristik fisik tertentu yang mengarah ke jalur sinyal standar. Akibatnya, pemberitahuan status pengiriman memiliki penundaan yang dapat diprediksi berdasarkan lokasi pengguna.

Penyerang dapat mengukur penundaan ini untuk mengetahui negara, kota, atau distrik penerima dan bahkan dapat mengetahui apakah mereka menggunakan WiFi atau internet seluler.

Untuk lokasi yang lebih tepat, penyerang dapat melakukan latihan ini beberapa kali dan menyiapkan kumpulan data untuk menentukan lokasi di antara kumpulan tempat yang mungkin berbeda seperti rumah korban, kantor, dan gym.

Agar serangan ini berhasil, penyerang dan target harus saling mengenal dan harus sudah terlibat dalam percakapan sebelumnya.

WhatsApp digunakan oleh 2 miliar orang di seluruh dunia dan meskipun Signal dan Threema memiliki basis pengguna yang lebih kecil, masing-masing dengan 40 juta dan 10 juta pengguna, mereka menyebut diri mereka sebagai aplikasi yang berfokus pada privasi, aman, dan aman, sehingga temuan ini lebih mengkhawatirkan bagi pengguna kedua aplikasi ini.

Faktanya, Signal dan Threema tampaknya lebih rentan terhadap serangan ini dalam arti bahwa serangan waktu dapat digunakan untuk menyimpulkan lokasi pengguna Signal dengan akurasi 82 persen dan pengguna Threema dengan akurasi 80 persen. Untuk WhatsApp, angka ini mencapai 74 persen.

Laporan tersebut tampaknya menyiratkan bahwa pengguna iOS dan Android sama-sama rentan.

Bagaimana cara menggagalkan serangan waktu

Para peneliti telah menemukan bahwa serangan itu kemungkinan tidak akan bekerja dengan perangkat yang tidak digunakan saat pesan diterima. Jadi mereka telah mengusulkan agar pengembang menunjukkan waktu konfirmasi pengiriman acak kepada pengirim. Jika waktunya mati 1 hingga 20 detik, itu akan membuat serangan waktu tidak berguna tanpa memengaruhi kegunaan praktis dari pemberitahuan pengiriman.

Pengguna yang khawatir tentang privasi lokasi dapat mencoba menonaktifkan fitur notifikasi pengiriman, jika didukung oleh aplikasi pilihan mereka. Selain itu, dengan asumsi bahwa aplikasi tidak disetel untuk melewati VPN (jaringan pribadi virtual), pengguna dapat menggunakan VPN untuk meningkatkan latensi atau penundaan.

RestorePrivacy menghubungi pembuat aplikasi yang dimaksud dan mendapat tanggapan berikut dari Threema:

Kami telah mempertimbangkan solusi yang berbeda dan melakukan berbagai pengujian, termasuk pengujian di mana klien secara acak menunda pemberitahuan pengiriman sedikit untuk membuat analisis waktu semacam ini tidak berguna. (Pembaruan aplikasi yang berisi peningkatan ini akan segera tersedia.)

Harap dicatat, bagaimanapun, bahwa eksploitabilitas praktis dari analisis waktu ini masih bisa diperdebatkan: Pengguna biasanya tidak membuka aplikasi messenger mereka sepanjang waktu, dan pemberitahuan push yang membangunkan aplikasi di latar belakang sudah menambahkan penundaan yang cukup besar hingga beberapa detik.

Tags: phonearena.com