Los investigadores de seguridad han descubierto que los hackers de iPhone pueden revelar la ubicación de los usuarios de WhatsApp, Signal y Threema con hasta un 80 % de precisión, dependiendo del éxito del ataque. Esto es lo que necesita saber al respecto.
El descubrimiento fue publicado por Restore Privacy. Según la publicación, “el truco está en medir el tiempo que tarda un atacante en ser notificado del estado de entrega de un mensaje en un mensaje enviado al objetivo”.
Dado que las redes de Internet móvil y la infraestructura del servidor de aplicaciones de mensajería instantánea tienen ciertas características físicas que dan como resultado rutas de señal estándar, estas notificaciones tienen demoras predecibles según la posición del usuario.
Al medir estos retrasos en la preparación, como el envío de mensajes cuando se conoce la ubicación del objetivo, un atacante puede averiguar dónde se encuentra el destinatario del mensaje en cualquier momento en el futuro simplemente enviándole un nuevo mensaje y midiendo el tiempo que tardó en llegar. mándalo. notificaciones de estado de entrega.
Este ataque de sincronización puede ubicar al destinatario por país, ciudad, región y si está conectado a Wi-Fi o celular. Según los investigadores de seguridad, esta vulnerabilidad podría explotarse contra los llamados mensajeros seguros como Signal, Threema y WhatsApp.
El caso de WhatsApp es más preocupante, ya que la compañía lanzó recientemente una campaña publicitaria global que promociona la seguridad de la aplicación, en comparación con la batalla entre las burbujas azules y verdes que involucran a los fabricantes de teléfonos Apple y Android.
Sin embargo, de estas tres aplicaciones, la precisión con la que un pirata informático puede determinar la ubicación de un usuario es del 82 % para los objetivos de Signal, del 80 % para Threema y del 74 % para WhatsApp.
¿Cómo protegerse de estos ataques?
Restore Privacy dice que además de VPN o “desactivar la función de notificación que informa al remitente que se ha recibido un mensaje”, estas aplicaciones de mensajería son responsables de tomar medidas, como aleatorizar el tiempo de confirmación de entrega al remitente. La publicación escribe:
Mientras realizaban experimentos, los investigadores notaron que algunos dispositivos estaban inactivos mientras recibían mensajes, lo que puede distorsionar los resultados del ataque y es una contramedida prácticamente poco confiable.
(…) Solo de 1 a 20 segundos serían suficientes para hacer imposible este ataque de sincronización sin violar la utilidad práctica de las notificaciones de estado de entrega.
La publicación llegó a estas empresas, y dos dijeron que estaban investigando la situación. BGR actualizará la historia tan pronto como sepamos más al respecto.
