The pirates can calculate the position of the victim by sending a message and measuring the time necessary to receive uncused reception. This vulnerability affects the instantly protected apps WhatsApp, Signal and Threema.

Bad news for WhatsApp and Signal users: security researchers discovered a vulnerability that allowed them to determine their location. Ils ont publié les résultats de leurs travaux lors du Network and Distributed System Security (NDSS) Symposium. Cette vulnerabilité touche aussi l’application de messagerie instantanee encrypted Threema.

The principle is the following: the pirate sends a message to the victim and measures the time required to receive the notification that the message has been distributed. En effet, les réseaux Internet mobiles et les serveurs des applications de messagings instantanes ont des caractéristiques specifiques qui engendrent une forme de standard dans le délai de transfer des messages et des notifications. Il est ainsi possible de prédire les délais de transmission selon la position de l’utilisateur.

Emplacements des serveurs des trois services de messagerie instantanee © arxiv.org

The pirates can therefore carry out preliminary tests by sending messages to people whose location is known, in order to calculate the position of the servers, then the delays in function of the locations. Il faut cependant une phase préliminaire longue et de nombreux essais pour calculer le plus de pairs of positions/délais possibles. Une fois Cette phase terminie, il devient possible de calculer la position de la sacrifice, en l’occurrence son pays, with ville, voire son quartier.

According to the results of the researchers, the precision of the classification of the different places is the following:

  • 82% infuse Signal.
  • 80% pour Threema.
  • 74% pour WhatsApp.

WhatsApp users are ainsi un peu moins exposés than those of Signal, but they feel vulnerable. They are 2 billion in the world, compared to 40 million for Signal and 10 million for Threema. Cette découverte poses evidently the problem of private life, knowing that these services have secure and encrypted communications. En revanche, l’utilisation d’un réseau privé virtuall rend les mesures des pirates totalemente caduques. The solution for providers of instant messaging is to introduce a random delay, for example between 1 and 20 seconds, to send a confirmation of receipt to the sender.

Pour le moment, only Threema reacted by indicating that they are working on the concept of retard aleatorye et que cela pourrait être mis en œuvre dans une next version de l’application. L’entreprise précis que l’exploitation de la vulnérabilité est dissutable. En effet, the application is not open all the time and sending notifications en tâche de fund peut déjà introduire un délai de plusieurs secondes.

En attendant, les utilisers peuvent toujours deactivatif l’envoi d’accuses de réception, si l’application le permet.

Source:

Restore privacy

Source by [author_name]