O nouă tehnică de urmărire numită Silent Whisper indică o vulnerabilitate gravă din WhatsApp și Signal, exploatând modul în care aplicațiile gestionează confirmările de livrare. Oricine îți știe numărul de telefon poate „pingui” telefonul tău la fiecare 50 de milisecunde, fără să-ți trimită niciun mesaj, fără să-ți apară nicio notificare.
Ce e și mai grav e ca aplicațiile răspund automat la aceste semnale, dezvăluind involuntar dacă ești online, inactiv, plecat de acasă, la muncă sau chiar dormi. Asta fără să ți se spargă telefonul, fără malware, fără acces la cont. Cercetătorul care a demonstrat atacul, sub pseudonimul gommzystudio, a publicat deja un instrument open-source pe GitHub, iar acesta poate fi folosit de oricine, indiferent de intenții.
Cum funcţionează? WhatsApp și Signal trimit automat așa-numite ACK-uri (acknowledgments) la orice reacție, chiar și când acea reacție e trimisă către un mesaj care nu există. Aceste semnale sunt procesate la nivel de rețea, sub interfața vizibilă a aplicației. Astfel, dacă un atacator sondează dispozitivul victimei, poate măsura cât durează până vine răspunsul și pe baza acestui timp de răspuns (RTT – round trip time), poate deduce dacă telefonul e activ, în standby, offline sau în mișcare.
Ping rapid? Ești acasă, cu WiFi. Ping mai lent? Poate ești pe mobil. Răspuns inconsistent? Probabil te miști. Lipsă de răspuns? Poate ești pe modul avion sau telefonul e oprit. Impactul asupra bateriei și traficului de date nu e de neglijat. Testele au arătat că telefoanele atacate prin această metodă pierd între 14% și 18% din baterie pe oră – fără ca utilizatorul să folosească activ telefonul.
Pe un iPhone 13 Pro, consumul a crescut de la 1% pe oră în idle, la 14% cu sondare constantă. Galaxy S23? 15% pe oră. Singura aplicație care s-a descurcat mai bine a fost Signal, care are un sistem de limitare a acestor răspunsuri și a pierdut doar 1% pe oră. Dar chiar și așa, vulnerabilitatea rămâne prezentă, iar scanarea în fundal consumă și date mobile, interferând cu aplicațiile care necesită bandă mare, cum ar fi apelurile video.
Nu e chiar hack sau atac, ci o metodă sofisticată de profilare și urmărire a comportamentului – genul de instrument care ar putea fi folosit de autorități, stalkeri, sau chiar companii.
