Usynlig overvåking av WhatsApp-brukere

Ifølge eksperter kan angripere overvåke brukeres aktiviteter uten at de merker noe som helst. Metoden gjør det mulig å kartlegge når telefonen er i bruk, når brukeren sover og i noen tilfeller også hvor personen befinner seg.

Stille meldinger uten varsler

Forskere ved Universitetet i Wien har identifisert en teknikk som bruker såkalte stille meldinger. Dette er meldinger som behandles av appen i bakgrunnen, men som ikke utløser varsler, vibrasjon eller visning på skjermen. Brukeren får ingen indikasjon på at noe er mottatt.

Over tre milliarder brukere av WhatsApp og Signal kan i praksis være berørt av sårbarheten.

Leveringsbekreftelser som lekkasje

WhatsApp-brukere kjenner de små grå og blå hake-symbolene under meldinger. Ett hake betyr sendt, to betyr levert, og blå haker viser at meldingen er lest. Det mange ikke er klar over, er at selve leveringsbekreftelsen kan misbrukes til overvåking.

Les også: Enkel løsning på iPhone problem med stille alarmer

Disse bekreftelsene kan ikke slås av. De er en integrert del av systemet og brukes blant annet for å sikre ende-til-ende-kryptering.

Careless Whisper-metoden

I studien med navnet Careless Whisper beskrives hvordan angripere kan sende reaksjoner, som emojier, på meldinger som ikke finnes. Appen håndterer forespørselen teknisk korrekt og sender en bekreftelse tilbake, men mottakeren ser ingenting.

"Brukeren merker ikke angrepet. Det finnes ingen varsler, ingen spor i appen og ingen måte å oppdage eller blokkere de stille meldingene på."

Tre måter å sende stille meldinger på

Forskerne beskriver tre hovedmetoder som kan brukes til denne typen overvåking.

Den første er å reagere med et emoji på en melding angriperen selv tidligere har sendt. Dette regnes som en oppdatering, ikke en ny melding, og gir ingen varsling.

Den andre metoden er å legge til en reaksjon og deretter fjerne den umiddelbart. Mottakeren ser aldri reaksjonen, men systemet sender likevel leveringsbekreftelse.

Den tredje og mest alvorlige metoden er å sende en reaksjon til en ugyldig meldings-ID. WhatsApp kontrollerer ikke om meldingen finnes og sender bekreftelse uansett. Dette kan gjøres uten tidligere kontakt, så lenge angriperen har telefonnummeret.

Telefonen avslører hva du gjør

Overvåkingen baserer seg på måling av tiden det tar fra den stille meldingen sendes til bekreftelsen kommer tilbake. Denne tidsforsinkelsen gir detaljerte hint om telefonens tilstand.

Når skjermen er på og appen er aktiv, skjer svaret raskt. Hvis skjermen er på, men appen i bakgrunnen, tar det litt lengre tid. Er skjermen av og telefonen i hvilemodus, øker forsinkelsen betydelig.

Ved å sende slike forespørsler kontinuerlig kan en angriper bygge opp et detaljert aktivitetsmønster og se når brukeren er våken, på jobb, på farten eller sover.

Hva angriperen kan finne ut

Informasjonen som kan utledes er omfattende. Angriperen kan kartlegge søvnmønster, arbeidstider og perioder med aktiv chatting. Det er også mulig å se om brukeren benytter flere enheter, for eksempel mobil og datamaskin. Det skriver chip.

I tillegg kan bytte mellom wifi og mobilnett gi indikasjoner på bevegelsesmønstre og daglige reiseruter.

Begrensede muligheter for beskyttelse

Det finnes per i dag ingen fullgod måte å beskytte seg på. Leveringsbekreftelser kan ikke deaktiveres, siden de er en grunnleggende del av meldingsprotokollen.

WhatsApp tilbyr riktignok en innstilling som blokkerer meldinger fra ukjente avsendere. Dette kan redusere risikoen for angrep fra fremmede, men gir ingen beskyttelse mot personer som allerede finnes i kontaktlisten.

Signal har ingen tilsvarende funksjon.

Manglende respons fra selskapene

Sårbarheten ble rapportert til både Meta og Signal Foundation høsten 2024 gjennom ansvarlig varsling. Meta vurderte problemet som lite alvorlig, mens Signal ikke svarte.

Per desember 2025 er svakheten fortsatt til stede, og det finnes verktøy tilgjengelig på nett som automatiserer overvåkingen.

Et grunnleggende arkitekturproblem

Careless Whisper-studien peker på et grunnleggende dilemma i moderne meldingsapper. Mekanismer som er nødvendige for sikker kryptering, kan samtidig utnyttes til skjult overvåking.

Forskerne foreslår tiltak som tilfeldige forsinkelser i leveringsbekreftelser eller bedre kontroll av meldings-ID-er. Inntil slike endringer eventuelt innføres, forblir milliarder av brukere sårbare.

Studien viser også at alternative løsninger finnes. Den sveitsiske meldingsappen Threema er ikke rammet av problemet, fordi leveringsbekreftelser er implementert på en annen måte.

Les også: Gmail-brukere advares: Du kan miste kontoen din hvis du ikke er forberedt på dette