Инженер-программист Роб Хиттон обнаружил уязвимость в WhatsApp, которая может позволить злоумышленнику определить, когда два контакта общаются через сервис.
Ему удалось использовать ее, написав расширение для Chrome, требующее всего четыре строки Javascript…
Проблема в том, что ваш статус «в сети» может быть запрошен любым из ваших контактов. Если вы перейдете в автономный режим, а затем снова станете доступны, чтобы прочитать и ответить на сообщение, этот факт может быть зафиксирован. Сопоставление времени вашего возвращения в сеть с временем, когда другие люди делают то же самое, позволяет увидеть закономерности, которые фактически идентифицируют двух людей, обменивающихся сообщениями.
Вы очень хотите узнать, тайно ли встречаются ваши подруги Лара и Тара. Вы не можете не написать многомерное программное обеспечение для перекрестной корреляции, которое показывает поразительное совпадение между их шаблонами использования WhatsApp.
Его пост в блоге начинается с использования уязвимости для определения того, когда заядлый пользователь WhatsApp ложится спать и просыпается, в очаровательном сценарии о наблюдении за режимом сна друга, предположительно тренирующегося для благотворительного похода. Это достигается только с помощью четырехстрочного кода Javascript.
setInterval(function() { var lastSeen = $('.pane-header .chat-body .emojitext').last().text(); console.log(Math.floor(Date.now() / 1000) + ", " + lastSeen); }, 1000);
Сопоставление сетевых шаблонов двух или более людей потребует больше кода, но принцип тот же. И хотя WhatsApp позволяет скрыть время вашего последнего посещения, он не позволяет скрыть, когда вы находитесь в сети, а когда нет — то есть активно используете сервис.
Такая же слабость была обнаружена в прошлом году в Facebook Messenger.
Via TNW
Посетите 9to5Google на YouTube для получения новостей о Google и Android: