В открытом доступе появился инструмент, позволяющий по одному номеру телефона незаметно отслеживать активность пользователей мессенджеров WhatsApp (материнская компания Meta признана экстремистской организацией и запрещена в РФ) и Signal. Метод охватывает миллиарды аккаунтов и позволяет с высокой точностью восстанавливать распорядок дня человека, включая периоды сна, активности, перемещения и отключения от сети, при этом пользователь не получает уведомлений о происходящем.
Механизм основан на анализе служебных подтверждений доставки сетевых пакетов и измерении времени отклика устройства. Приложения автоматически отвечают на такие запросы на низком уровне сети, независимо от того, было ли фактическое общение. Частые «пинги» формируют различимые временные профили, зависящие от типа подключения, состояния экрана и режима работы смартфона.
Уязвимость была описана исследователями Венского университета и SBA Research, а затем получила практическую реализацию в виде открытого proof-of-concept, опубликованного на GitHub. Эксперименты показали, что скрытые запросы можно отправлять с высокой частотой без следов в интерфейсе, при этом возрастает расход трафика и ускоряется разряд аккумулятора; в ряде тестов смартфоны теряли до 14-18 процентов заряда в час.
Аналитики отмечают, что по состоянию на декабрь 2025 года уязвимость остается эксплуатируемой, а предлагаемые меры в виде усиления настроек приватности и блокировки сообщений от неизвестных контактов лишь частично снижают риски, не устраняя проблему метаданных полностью.
Член комиссии по поддержке ИТ-индустрии и комиссии по защите традценностей Общественного совета при Минцифры России Армен Гаспарян отмечает, что «большинство пользователей по-прежнему воспринимают слежку как редкое явление, связанное преимущественно с деятельностью правоохранительных органов». «На практике утечки данных об активности чаще происходят на бытовом уровне — в рабочих, личных или конфликтных ситуациях. Распространение инструментов на базе нейросетей дополнительно снижает порог входа — для организации скрытого наблюдения больше не требуется техническая подготовка, достаточно корректно сформулированного запроса. Подобные инциденты подчеркивают, что в текущих условиях ключевым критерием выбора мессенджера становится не удобство, а архитектурно заложенная безопасность. Именно с таким подходом разрабатываются отечественные сервисы — да, сейчас они могут уступать по удобству, однако при активном развитии пользовательский комфорт со временем достигается, тогда как отсутствие базовой безопасности восполнить невозможно», — говорит Армен Гаспарян.
Эксперт РОЦИТ Вадим Ампелонский призывает пользователей осознать, что инструмент находится в открытом доступе. «Это значит, что любой, кому вы чем-либо интересны, фактически может шпионить за вами без вашего ведома. И для этого не нужно иметь заклятого врага — это может быть чрезмерно любопытный коллега, тайный преследователь, затаивший обиду однокурсник, кто угодно. И в отличие от мифического «товарища майора», которому вы станете интересны только если задумаете серьезное преступление, бытовой шпионаж распространен гораздо больше. Быть программистом тоже не нужно — все можно легко настроить через нейросеть. Поэтому будьте осторожны, если по какой-то причине вынуждены использовать WhatsApp (материнская компания Meta признана экстремистской организацией и запрещена в РФ), а лучше перейдите на отечественные аналоги, в которых нет настолько грубых пробелов в безопасности», — подчеркнул Вадим Ампелонский.