Güvenlik araştırmacıları, WhatsApp ve Signal’da üçüncü tarafların kullanıcı faaliyetlerini neredeyse gerçek zamanlı olarak takip etmesini sağlayan bir kusur tespit etti. Sorun, her iki mesajlaşma servisinin teslimat makbuzlarını nasıl işlediğiyle bağlantılı; bu fişler bir mesajın bir cihaza ulaştığını doğrular. Mesajları tekrar tekrar göndererek ve yanıt zamanlamasını ölçerek, bir gözlemci hedefin çevrimiçi, çevrimdışı veya telefonunu aktif olarak kullanıp kullanmadığını belirleyebilir. Bu süreç bildirimleri tetiklemiyor ve kullanıcılar izlemenin gerçekleştiğinden habersiz bırakıyor.
Araştırmacılar, tekniğin ağ tepki sürelerindeki küçük farklılıkları analiz etmeye dayandığını söyledi. Bu farklılıklar, bir cihazın ne zaman ağdan bağlandığını veya bağlantıyı kestiğini ve kullanıcının bir süre aktif olmadığı dönemde aktif hale geldiğini ortaya çıkarabilir. Teslimat makbuzları mesajlaşma sürecinin temel bir parçası olduğundan, kullanıcılar standart gizlilik ayarlarıyla bunları devre dışı bırakamaz. Bu durum, uygulamaların kullandığı temel sistemde değişiklik olmadan davranışı engellemeyi zorlaştırır.
Yöntem aktivite kalıplarını ortaya çıkarmanın yanı sıra, cihaz kaynaklarını da tüketmek için kullanılabilir. Yüksek frekanslı probing, arka plan veri kullanımını ve pil tüketimini artırır. Zamanla, bu durum pil ömrünü azaltabilir ve kullanıcı uygulamalarla aktif olarak etkileşimde bulunmasa bile cihaz performansını etkileyebilir. Araştırmacılar, kusurun bu yönünün, gizlilik maruziyeti ile kaynak tükenmesiyle birleştiği için potansiyel etkisini artırdığını belirtti.
Bu sorun hem WhatsApp hem de Signal’ı etkiliyor çünkü teslimat onaylarının yönetiliş biçiminde benzer tasarım seçenekleri paylaşıyorlar. Teslimat makbuzları, bir mesajın açılıp açılmadığını gösteren ve genellikle kullanıcılar tarafından devre dışı bırakılabilen okuma makbuzlarından farklıdır. Teslimat makbuzları teknik düzeyde alınmayı onaylar ve varsayılan olarak aktif kalır. Araştırmacılar, bu tasarım kararının istemeden istismar edilebilecek zamanlama bilgilerini ortaya çıkardığını söyledi.
Güvenlik uzmanları, bu kusurun, büyük ölçekli mesajlaşma platformlarında kullanıcı gizliliğini korumadaki daha geniş zorlukları ortaya koyduğunu söyledi. Güvenilirliği artırmak için tasarlanmış özellikler, davranışsal verileri ortaya çıkaran yan kanallar da oluşturabilir. Bilinmeyen sayılardan gelen teması sınırlamak, maruziyeti azaltabilir, ancak temel sorunu tam olarak çözmez. Okuma makbuzlarını devre dışı bırakmak bu tür takip yöntemlerine karşı hiçbir koruma sağlamaz.
Araştırmacılar, sorunun ele alınmasının protokol düzeyinde teslim onaylarının nasıl işlendiğinde değişiklikler gerektireceğini belirtti. Bu değişiklikler yapılana kadar, takip konusunda endişeli olan kullanıcılar, çevrimiçi durumlarının ve aktivite kalıplarının hesaplarına doğrudan erişim olmadan çıkarılabileceğinin farkında olmalıdır. Bu bulgu, yaygın olarak kullanılan iletişim hizmetlerinde işlevsellik ve gizliliği dengelemenin karmaşıklığını vurguluyor.