En ny forskningsstudie slår larm om en oväntad svaghet i populära meddelandeappar som Whatsapp och Signal. Enligt forskarna kan användare övervakas utan att få någon som helst indikation på att något pågår – varken notiser, ljud eller synliga spår i appen.
Bakom avslöjandet står säkerhetsforskare vid Wiens universitet. I studien, som fått namnet Careless Whisper, visar de hur till synes osynliga signaler kan användas för att kartlägga människors vardag.
Klicka här för att följa oss på GoogleDet handlar om allt från när telefonen används till när ägaren sover – och i vissa fall även hur personen rör sig under dagen. Det rapporterar Chip.
Övervakning utan synliga spår
Kärnan i metoden är så kallade tysta meddelanden. Det är tekniska signaler som behandlas av appen i bakgrunden, men som inte leder till någon avisering eller synlig aktivitet på skärmen.
Användaren märker helt enkelt inte att något skickas eller tas emot. Forskarna visar att sådana signaler bland annat kan skickas genom reaktioner på meddelanden som redan raderats – eller som aldrig har funnits. Trots det svarar appen med en leveransbekräftelse, vilket i sig läcker information.
”Användaren märker inte attacken. Det finns inga aviseringar, inga spår i appen och inget sätt att upptäcka eller blockera de tysta meddelandena”, skriver forskarna i studien.
Bockarna som avslöjar mer än du tror
I Whatsapps fall spelar de välkända grå och blå bockarna en central roll. Leverans- och läskvitton är en viktig del av appens krypterade kommunikation och går inte att stänga av helt.
Just därför kan de också missbrukas. Genom att mäta hur lång tid det tar innan en bekräftelse kommer tillbaka kan en angripare dra slutsatser om telefonens tillstånd. Det kan handla om huruvida skärmen är tänd, om appen är aktiv eller om mobilen ligger i viloläge.
Med upprepade försök går det att bygga upp ett detaljerat mönster över en persons dagliga rutiner.
Svårt att skydda sig
I nuläget finns det inget heltäckande skydd för användare. Whatsapp erbjuder möjligheten att blockera meddelanden från okända nummer, men det hjälper inte om angriparen redan finns i kontaktlistan. Signal saknar motsvarande funktion helt.
Sårbarheten rapporterades till både Meta och Signal Foundation redan under 2024. Meta bedömde risken som låg, medan Signal inte ska ha återkommit med något svar.
Forskarna menar att problemet är inbyggt i apparna. Funktioner som är nödvändiga för säker kommunikation kan samtidigt utnyttjas för dold övervakning. Fram till att tekniska förändringar införs riskerar därför miljarder användare att kartläggas – utan att ha en aning om det.
Det här kan kartläggas om dig via Whatsapp
- Sömntider: När du går och lägger dig och går upp – ner på minuten.
- Arbetstider: När du är på jobbet (mindre mobiltelefonanvändning) och när du slutar jobbet.
- Messenger-användning: Om du för närvarande aktivt chattar med någon.
- Detektering av flera enheter: Oavsett om du använder WhatsApp på din dator eller mobiltelefon.
- Nätverksbyte: Oavsett om du är på Wi-Fi (hemma) eller på mobilnätet (när du är på språng).
- Platsledtrådar: Regelbunden växling mellan Wi-Fi och mobilnät avslöjar dina pendlingsrutter.
Källa: Careless Whisper: Exploiting Stealthy End-to-End Leakage in Mobile Instant Messengers
