Sicherheitsforscher haben eine Schwachstelle bei WhatsApp und Signal identifiziert, die es Dritten ermöglicht, Nutzeraktivitäten nahezu in Echtzeit zu verfolgen. Das Problem hängt damit zusammen, wie beide Messaging-Dienste mit Lieferbelegen umgehen, die bestätigen, dass eine Nachricht ein Gerät erreicht hat. Durch wiederholtes Senden von Nachrichten und Messung der Antwortzeit kann ein Beobachter feststellen, ob ein Ziel online, offline oder aktiv sein Telefon benutzt. Der Prozess löst keine Benachrichtigungen aus, sodass die Nutzer nicht wissen, dass Überwachung stattfindet.
Forscher sagten, die Technik beruhe auf der Analyse kleiner Unterschiede in den Reaktionszeiten des Netzwerks. Diese Unterschiede können zeigen, wann ein Gerät sich mit dem Netzwerk verbindet oder trennt und wann ein Nutzer nach einer Phase der Inaktivität aktiv wird. Da Lieferbelege ein zentraler Bestandteil des Nachrichtenprozesses sind, können Nutzer sie nicht über die Standard-Datenschutzeinstellungen deaktivieren. Das macht das Verhalten schwer zu blockieren, ohne Änderungen am zugrunde liegenden System, das von den Apps verwendet wird.
Neben der Aufdeckung von Aktivitätsmustern kann die Methode auch verwendet werden, um Geräte Ressourcen zu entziehen. Hochfrequenz-Probing erhöht den Hintergrunddatenverbrauch und den Batterieverbrauch. Im Laufe der Zeit kann dies die Akkulaufzeit verringern und die Geräteleistung beeinträchtigen, selbst wenn der Nutzer nicht aktiv mit den Apps interagiert. Forscher stellten fest, dass dieser Aspekt des Mangels seine potenziellen Auswirkungen erhöht, da er Privatsphäre-Exposition mit Ressourcenerschöpfung kombiniert.
Das Problem betrifft sowohl WhatsApp als auch Signal, da sie ähnliche Designentscheidungen bei der Verwaltung von Zustellbestätigungen teilen. Lieferbelege unterscheiden sich von Lesebelegungen, die angeben, ob eine Nachricht geöffnet wurde, und können in der Regel von Benutzern deaktiviert werden. Lieferbelege bestätigen den Empfang auf technischer Ebene und bleiben standardmäßig aktiv. Forscher sagten, dass diese Designentscheidung unbeabsichtigt Zeitinformationen offenlegt, die ausgenutzt werden können.
Sicherheitsexperten erklärten, dass der Fehler größere Herausforderungen beim Schutz der Privatsphäre der Nutzer auf groß angelegten Messaging-Plattformen aufzeigt. Funktionen, die zur Verbesserung der Zuverlässigkeit entwickelt wurden, können ebenfalls Nebenkanäle schaffen, die Verhaltensdaten offenlegen. Die Begrenzung des Kontakts mit unbekannten Nummern kann die Exposition verringern, löst aber das zugrundeliegende Problem nicht vollständig. Das Deaktivieren von Lesebestätigungen bietet keinen Schutz gegen diese Form der Verfolgung.
Die Forscher sagten, dass die Lösung des Problems wahrscheinlich Änderungen an der Art und Weise erfordern würde, wie Lieferbestätigungen auf Protokollebene behandelt werden. Bis solche Änderungen vorgenommen werden, sollten Nutzer, die sich um das Tracking sorgen, sich bewusst sein, dass ihr Online-Status und ihre Aktivitätsmuster ohne direkten Zugriff auf ihre Konten abgeleitet werden können. Die Entdeckung unterstreicht die Komplexität, Funktionalität und Privatsphäre in weit verbreiteten Kommunikationsdiensten auszubalancieren.