Beveiligingsonderzoekers hebben een zwakke plek in WhatsApp en Signal geïdentificeerd die het mogelijk maakt dat derden gebruikersactiviteit bijna realtime kunnen volgen. Het probleem hangt samen met hoe beide berichtendiensten afhandelen met ontvangstbewijzen, die bevestigen dat een bericht een apparaat heeft bereikt. Door herhaaldelijk berichten te versturen en de responstijd te meten, kan een waarnemer bepalen of een doelwit online, offline of actief zijn telefoon gebruikt. Het proces activeert geen meldingen, waardoor gebruikers niet weten dat er monitoring plaatsvindt.
Onderzoekers zeiden dat de techniek gebaseerd is op het analyseren van kleine variaties in netwerkresponstijden. Deze verschillen kunnen laten zien wanneer een apparaat verbinding maakt of loskoppelt van het netwerk en wanneer een gebruiker actief wordt na een periode van inactiviteit. Omdat bezorgbonnen een kernonderdeel zijn van het berichtenproces, kunnen gebruikers ze niet uitschakelen via de standaard privacy-instellingen. Dit maakt het gedrag moeilijk te blokkeren zonder veranderingen aan het onderliggende systeem dat door de apps wordt gebruikt.
Naast het onthullen van activiteitspatronen kan de methode worden gebruikt om apparaatmiddelen te onttrekken. Hoogfrequente probing verhoogt het gebruik van achtergrondgegevens en het batterijverbruik. Na verloop van tijd kan dit de batterijduur verkorten en de prestaties van het apparaat beïnvloeden, zelfs wanneer de gebruiker niet actief met de apps bezig is. Onderzoekers merkten op dat dit aspect van de zwakte de potentiële impact vergroot omdat het privacy-blootstelling combineert met uitputting van middelen.
Het probleem treft zowel WhatsApp als Signal omdat zij vergelijkbare ontwerpkeuzes delen in hoe leveringsbevestigingen worden beheerd. Bezorgontvangstbewijzen verschillen van leesbevestigingen, die aangeven of een bericht is geopend en meestal door gebruikers kunnen worden uitgeschakeld. Ontvangstbewijzen bevestigen de ontvangst op technisch niveau en blijven standaard actief. Onderzoekers zeiden dat deze ontwerpkeuze onbedoeld timinginformatie blootlegt die kan worden misbruikt.
Beveiligingsspecialisten zeiden dat de fout bredere uitdagingen benadrukt bij het beschermen van de privacy van gebruikers op grootschalige berichtenplatforms. Functies die zijn ontworpen om de betrouwbaarheid te verbeteren, kunnen ook zijkanalen creëren die gedragsgegevens tonen. Het beperken van contact met onbekende nummers kan de blootstelling verminderen, maar het lost het onderliggende probleem niet volledig aan. Het uitschakelen van leesbonnen biedt geen bescherming tegen deze vorm van tracking.
Onderzoekers zeiden dat het aanpakken van het probleem waarschijnlijk veranderingen zou vereisen in hoe leveringsbevestigingen op protocolniveau worden behandeld. Totdat dergelijke wijzigingen worden doorgevoerd, moeten gebruikers die zich zorgen maken over tracking zich ervan bewust zijn dat hun online status en activiteitspatronen kunnen worden afgeleid zonder directe toegang tot hun accounts. De bevinding onderstreept de complexiteit van het balanceren van functionaliteit en privacy in veelgebruikte communicatiediensten.