Дослідники у сфері кібербезпеки розкрили метод відстеження під назвою Silent Whisper ("Тихий шепіт"), який використовує особливості обробки службових підтверджень доставки повідомлень у популярних месенджерах.
Про це повідомляє РБК-Україна з посиланням на TechRadar.
Йдеться про WhatsApp і Signal. Ці додатки автоматично обмінюються службовими сигналами, щоб зрозуміти, чи дійшло повідомлення до телефону. Цим механізмом можна зловживати: знаючи тільки номер телефону, зловмисник здатний таємно перевіряти, чи активний смартфон, не надсилаючи повідомлень і не викликаючи жодних сповіщень у користувача.
Silent Whisper працює нижче рівня користувацького інтерфейсу, тому під час звичайного використання смартфона виявити атаку практично неможливо.
Тести на кількох моделях показали аномально високе енергоспоживання в процесі такого "зондування". У нормальному режимі бездіяльності смартфони втрачають менше 1% заряду за годину. Однак під час експериментів iPhone 13 Pro розряджався на 14% на годину, iPhone 11 - на 18%, а Samsung Galaxy S23 - на 15%.
При застосуванні аналогічного підходу до Signal втрати склали близько 1% на годину - за рахунок більш жорстких обмежень на частоту запитів.
Крім батареї, постійні запити витрачають мобільний інтернет і можуть заважати роботі ресурсномістких застосунків, включно з відеодзвінками.
Метод заснований на вимірюванні часу відгуку службових підтверджень доставки. Ці показники змінюються залежно від того, чи активно використовується телефон, чи перебуває він у режимі очікування, офлайн, підключений до Wi-Fi або до мобільної мережі.
Стабільні та швидкі відповіді можуть вказувати на активне використання пристрою, наприклад, удома. Повільніші або нестабільні - на переміщення користувача або слабке з'єднання.
За тривалого спостереження такі патерни дають змогу відновити розпорядок дня, графік сну і навіть маршрути пересування - без доступу до вмісту повідомлень або списку контактів.
Хоча вразливість раніше описувалася в академічних дослідженнях, тепер її практичність підтверджена загальнодоступним інструментом. Він дає змогу надсилати запити з інтервалом до 50 мілісекунд, забезпечуючи детальне спостереження без оповіщення цілі.
Розробник інструменту попереджає про неприпустимість зловживань і наголошує на дослідницькому характері роботи, проте програмне забезпечення залишається доступним для всіх охочих. Це викликає побоювання масового використання методу, тим паче, що станом на грудень 2025 року вразливість все ще може бути використана.
Відключення звітів про прочитання знижує ризики для звичайних повідомлень, але повністю не блокує "Тихий шепіт".
У WhatsApp є можливість обмежити повідомлення від невідомих акаунтів, однак платформа не розкриває пороги спрацьовування. Signal пропонує додаткові налаштування, але, як підтверджують дослідники, зондування все одно можливе.
Антивірусні програми не виявляють подібних атак, оскільки йдеться не про шкідливе ПЗ, а про зловживання протоколами.
Експерти наголошують: основна загроза полягає не в крадіжці даних, а в непомітному і тривалому моніторингу поведінки користувача, який практично неможливо відстежити або перевірити.
Нагадаємо, що WhatsApp повернув одну з перших функцій "Про себе" в оновленому вигляді.
А ще ми писали, що WhatsApp запускає новий режим захисту для користувачів, чиї акаунти можуть стати метою цілеспрямованих хакерських атак.
Читайте також, як максимально ефективно використовувати застосунок Signal, щоб ваші чати залишалися безпечними.