Инструмент шпионажа за 3 млрд аккаунтов WhatsApp и Signal теперь доступен всем — превращает телефон жертвы в жучок

В открытый доступ вышел инструмент, позволяющий незаметно следить за активностью пользователей WhatsApp и Signal по одному лишь номеру телефона. Механизм наблюдения охватывает более трёх миллиардов аккаунтов и позволяет восстанавливать распорядок дня человека с пугающей точностью: моменты возвращения домой, периоды активного использования смартфона, время сна, передвижения и длительные отключения от сети. Дополнительным эффектом становится ускоренный разряд аккумулятора и расход мобильного трафика, которые остаются незаметными для владельца устройства.

Основа метода — особенности работы протоколов доставки сообщений в популярных мессенджерах. Алгоритм опирается на служебные подтверждения получения пакетов данных и анализирует время прохождения сигнала туда и обратно, известное как RTT. Приложения автоматически отвечают на такие запросы на низком уровне сети, ещё до проверки содержимого сообщения, из-за чего внешняя сторона получает измеримые отклики независимо от того, происходит ли реальное общение.

Любой желающий может отправлять так называемые «пинги» на устройство жертвы: приложение реагирует мгновенно, а задержка ответа заметно меняется в зависимости от состояния смартфона, типа подключения и условий приёма. Использование Wi-Fi, мобильной сети, активный экран или режим ожидания формируют разные временные профили, которые легко различимы при частых замерах.

Уязвимость впервые была подробно описана исследователями из Венского университета и SBA Research в научной работе, опубликованной в прошлом году. Авторы показали, что скрытые запросы можно отправлять с высокой частотой (вплоть до долей секунды) без появления уведомлений, всплывающих окон или записей в интерфейсе приложения, даже если между сторонами никогда не было диалога.

Теперь теоретические выводы получили практическое воплощение. Исследователь, известный под псевдонимом gommzystudio, выложил на GitHub рабочий proof-of-concept, демонстрирующий, насколько просто извлекать чувствительные сведения об использовании телефона. Там наглядно показано, как по одному номеру можно определить, находится ли устройство в активном режиме, спящем состоянии или полностью отключено от сети, а также выявлять дополнительные поведенческие признаки.

Ещё один ключевой трюк - в отправке реакций на несуществующие сообщения. Такие запросы не отображаются у получателя, однако всё равно вызывают автоматическую отправку подтверждений доставки. Приложение сначала сообщает о получении сетевого пакета, а уже потом проверяет, существует ли связанное с ним сообщение, благодаря чему шпионская цепочка остаётся полностью скрытой.

Эксперименты показали, что подобные проверки можно проводить с интервалом около 50 миллисекунд, не оставляя никаких следов в пользовательском интерфейсе. При этом смартфон начинает потреблять заметно больше энергии, а объём переданных данных резко возрастает. Обнаружить происходящее возможно лишь при физическом подключении гаджета к компьютеру и анализе внутренних журналов.

Интерпретация задержек открывает широкие возможности для наблюдения. Низкие значения RTT обычно соответствуют активному использованию телефона с включённым экраном и подключением к Wi-Fi. Немного более медленные ответы указывают на работу через мобильную сеть при сохранённой активности. Высокие задержки характерны для режима ожидания при беспроводном доступе, а очень большие — для спящего состояния на сотовом соединении или плохого приёма. Отсутствие ответа сигнализирует об авиарежиме либо полном отключении, а сильные колебания времени отклика выдают перемещение владельца.

Накопление таких измерений позволяет выстраивать подробную поведенческую картину. Стабильные показатели Wi-Fi обычно совпадают с пребыванием дома, длительные промежутки без активности — со сном, а характерные шаблоны мобильных сетей указывают на поездки и прогулки.

Репозиторий с инструментом быстро привлёк внимание сообщества: за короткое время проект собрал сотни отметок одобрения и десятки форков. Хотя автор подчёркивает исследовательский и образовательный характер работы, скачать и использовать программу может любой желающий, что делает потенциальные злоупотребления вполне реальными.

Отдельного внимания заслуживает влияние атаки на автономность устройств. На основе первоначального научного исследования выяснилось, что злоумышленник способен за считанные часы почти полностью разрядить аккумулятор, не имея доступа ни к аккаунту, ни к устройству. В нормальном режиме простой смартфон теряет менее 1% заряда в час, однако при тестах с WhatsApp iPhone 13 Pro расходовал около 14% за тот же период, iPhone 11 — 18%, а Samsung Galaxy S23 — порядка 15%.

Signal оказался более устойчивым из-за внедрённого ограничения частоты отправки подтверждений. В аналогичных условиях заряд снижался лишь на 1% за час, поскольку система блокировала избыточные запросы. У WhatsApp таких ограничений на момент экспериментов не было, что делало атаку значительно эффективнее.

Параллельно возрастает потребление мобильного интернета, а работа приложений, чувствительных к пропускной способности, включая видеозвонки, заметно ухудшается. Исследователи также показали, что по временным характеристикам ответов можно грубо определить регион нахождения пользователя — например, отличить Германию от ОАЭ. Использование нескольких точек отправки запросов из разных стран потенциально позволяет уточнить географию ещё сильнее.

Нестабильность задержек способна выдать не только перемещения, но и тип устройства вместе с операционной системой, поскольку разные модели и платформы по-разному обрабатывают сетевые пакеты. Таким образом, один лишь номер телефона становится ключом к многоуровневому профилированию.

Для снижения рисков предлагается включить в WhatsApp блокировку сообщений от неизвестных аккаунтов через расширенные настройки конфиденциальности. Такая мера может ограничить объём скрытых запросов от незнакомых номеров, хотя точные пороги срабатывания фильтров компания не раскрывает, из-за чего полностью исключить атаку не удаётся. Отключение уведомлений о прочтении снижает утечку информации при обычной переписке, но не закрывает конкретную лазейку с реакциями.

В Signal доступно более гибкое управление параметрами приватности, включая деактивацию подтверждений доставки и индикаторов набора текста. В целом исследователи рекомендуют по возможности отключать статусы «был(а) в сети», «онлайн» и схожие маркеры активности во всех мессенджерах. Полная защита от метаданных остаётся одной из наиболее сложных задач в ИБ.

По состоянию на декабрь 2025 года уязвимость остаётся эксплуатируемой как в WhatsApp, так и в Signal.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.