WhatsApp 和 Signal 安全性薄弱，低技能攻击者可跟踪用户

维也纳大学的一组研究人员在端到端加密（E2EE）信息服务的工作方式中发现了一个微小但严重的安全漏洞。这项研究最初发表于 2024 年 11 月 17 日，标题为 "Careless Whisper：利用静默发送收据监控移动即时通讯工具用户强调了安装 WhatsApp 或 Signal 后利用往返时间（RTT）数据追踪设备的可能性。

现在，GitHub 上发布了一个程序，可以自动利用 WhatsApp 的这一漏洞。虽然提供这种工具会引起道德方面的担忧，但其目的是向 WhatsApp 施压，迫使其解决安全漏洞并改善用户隐私保护。

事实证明，该程序背后的基本思想简单得出奇。追踪者向不存在的信息 ID 发送反应信息。目标设备仍会回复一条发送回执。这种反应对用户来说是不可见的，它揭示了发送和接收被操纵的请求所需的时间--RTT。

虽然仅凭这些数据点并不能显示即时位置，但如果长期收集，就能提供有价值的见解。RTT 数据中的模式可以显示设备是在使用中还是处于待机模式。还可以推断出网络连接类型，如 Wi-Fi 或蜂窝网络。通过分析这些持续数小时或数天的活动模式，攻击者可以得出有关用户行为的结论。此外，持续的请求会消耗受影响智能手机的电池寿命和移动数据。

目前，用户抵御这种跟踪方法的选择有限。智能手机上没有任何通知提醒用户注意这种监控。由于无法获得攻击者的电话号码，因此不可能对其进行拦截。Signal 和 WhatsApp 目前都没有提供禁用发送收据的选项。目前唯一的选择就是采取严厉的解决方案。从设备中删除所有受影响的端到端加密信息服务。