מסתבר שגם אפליקציות תקשורת הנחשבות למוצפנות ובטוחות לשימוש עשויות לחשוף את מיקומו המדויק של המשתמש כך עולה ממחקר שפורסם על ידי קבוצת חוקרים מאוניברסיטאות בגרמניה, ארצות הברית ואיחוד האמירויות. החוקרים פיתחו שיטה שנתגלתה כאפקטיבית ב-80% מהמקרים לאיתור מיקומם של משתמשים ב-WhatsApp, ב-Signal, ואפילו ב-Threema – אפליקציה יקרה יחסית לתקשורת מוצפנת המיועדת לעסקים.
השיטה נשענת על אישור קבלת ההודעה, הנשלח על ידי האפליקציה עם הגעתה לנמען, ועוד לפני שזה קרא אותה. את הזמן שעובר בין משלוח ההודעה לקבלתה ניתן למדוד באמצעות תוכנות לפיקוח על תעבורת רשת ברמת דיוק גבוהה, ולאחר מכן לחשב באמצעות מידע קודם את מיקומו של המשתמש דרך הזמן שנדרש להודעה להגיע.
מספר הודעות ‘כיול’ שנשלחות למשתמש בזמן שלתוקף ידוע מקומו במדויק מספיקות על מנת לאתר אותו בהמשך. השיטה, אם כן, לא תועיל באיתור מיקומם של משתמשים אקראיים, אולם עבור מטרות הנמצאות בסיכון ייתכן בהחלט שמדובר בכלי העשוי לחשוף אותן בפני ארגוני ביון בעלי משאבים.
החוקרים ממליצים למפתחי האפליקציות לשלב מנגנון המוסיף מרכיב של אקראיות לאישור קבלת ההודעות – עיכוב אקראי של כמה שניות, שלא ישנה באופן מהותי את חוויית השימוש אך ישבש לחלוטין את השיטה המתוארת לאיתור מיקומו של המשתמש. ב-Threema כבר הגיבו כי הם בוחנים אפשרות כזו.
בינתיים, ניתן פשוט לכבות דרך הגדרות האפליקציה את אישור קבלת ההודעה, או להשתמש ב-VPN המשבש אף הוא את מדידת זמן המשלוח.
אי אפשר לכבות את ההגדרה של אישור קבלת ההודעה בוואצפ למשל
צודק. לא הבנתי למה התכוונו – האופציה היחידה היא למנוע שימוש בנתונים ברקע. כך ההודעות יתקבלו רק בפתיחת היישום