論文の概要: Careless Whisper: Exploiting Stealthy End-to-End Leakage in Mobile Instant Messengers
- arxiv url: http://arxiv.org/abs/2411.11194v2
- Date: Tue, 19 Nov 2024 11:26:29 GMT
- ステータス: 翻訳完了
- システム内更新日: 2024-11-20 13:35:03.161286
- Title: Careless Whisper: Exploiting Stealthy End-to-End Leakage in Mobile Instant Messengers
- Title(参考訳): 不注意なWhisper:モバイルインスタントメッセンジャーの盗難を爆発させる
- Authors: Gabriel K. Gegenhuber, Maximilian Günther, Markus Maier, Aljosha Judmayer, Florian Holzbauer, Philipp É. Frenzel, Johanna Ullrich,
- Abstract要約: 本稿では,配送レシートがユーザに対して重大なプライバシー上のリスクをもたらすことを強調する。
特別に作られたメッセージを使って、配達のレシートをトリガーすることで、ユーザーは自分の知識や同意なしに入力できるのです。
私たちはこの問題に対処するための設計変更を主張する。
- 参考スコア(独自算出の注目度): 1.5496023883771977
- License:
- Abstract: With over 3 billion users globally, mobile instant messaging apps have become indispensable for both personal and professional communication. Besides plain messaging, many services implement additional features such as delivery and read receipts informing a user when a message has successfully reached its target. This paper highlights that delivery receipts can pose significant privacy risks to users. We use specifically crafted messages that trigger delivery receipts allowing any user to be pinged without their knowledge or consent. By using this technique at high frequency, we demonstrate how an attacker could extract private information such as the online and activity status of a victim, e.g., screen on/off. Moreover, we can infer the number of currently active user devices and their operating system, as well as launch resource exhaustion attacks, such as draining a user's battery or data allowance, all without generating any notification on the target side. Due to the widespread adoption of vulnerable messengers (WhatsApp and Signal) and the fact that any user can be targeted simply by knowing their phone number, we argue for a design change to address this issue.
- Abstract(参考訳): 全世界で30億人以上のユーザーがいるモバイルのインスタントメッセージングアプリは、個人とプロフェッショナルの両方のコミュニケーションに欠かせないものになっている。
平易なメッセージングに加えて、多くのサービスは、メッセージがターゲットに到達したことをユーザーに通知する配信や読み取りレシートなどの追加機能を実装している。
本稿では,配送レシートがユーザに対して重大なプライバシー上のリスクをもたらすことを強調する。
特別に作られたメッセージを使って、配達のレシートをトリガーすることで、ユーザーは自分の知識や同意なしに入力できるのです。
この手法を高頻度で使用することにより、攻撃者が被害者のオンラインや活動状況、例えばスクリーンオン/オフなどの個人情報を抽出する方法を実証する。
さらに、現在アクティブなユーザデバイスとそのオペレーティングシステムの数や、ユーザのバッテリやデータ許諾などのリソース枯渇攻撃を、すべてターゲット側で通知を発生させることなく推測することができる。
脆弱なメッセンジャー(WhatsAppとSignal)が広く採用されていることや、電話番号を知るだけでユーザーを標的にできるという事実から、この問題に対処するためのデザイン変更を議論している。
関連論文リスト
- Remote Timing Attacks on Efficient Language Model Inference [63.79839291641793]
タイミング差を利用してタイミングアタックをマウントできることが示される。
90%以上の精度でユーザの会話の話題を学習することができるかを示す。
相手はブースティング攻撃を利用して、オープンソースのシステム用のメッセージに置かれたPIIを回復することができる。
論文 参考訳(メタデータ) (2024-10-22T16:51:36Z) - The Medium is the Message: How Secure Messaging Apps Leak Sensitive Data to Push Notification Services [9.547428690220618]
本研究では、Androidデバイスにプッシュ通知を送信するために、セキュアメッセージングアプリのGoogleのCloud Messaging(FCM)サービスの使用について調査した。
われわれはGoogle Play Storeから人気の高い21のセキュアメッセージングアプリを分析し、FCM経由で送られたプッシュ通知のペイロードにリークする個人情報を判定した。
FCMにリークされたデータはすべて、これらのアプリのプライバシー開示で具体的には公開されていません。
論文 参考訳(メタデータ) (2024-07-15T10:13:30Z) - Poisoning Federated Recommender Systems with Fake Users [48.70867241987739]
フェデレーテッド・レコメンデーションは、フェデレーテッド・ラーニングにおける顕著なユースケースである。
本稿では,攻撃対象のアイテムを宣伝するために,PisonFRSという偽ユーザによる新たな毒殺攻撃を導入する。
複数の実世界のデータセットに対する実験では、PoisonFRSが攻撃者-チョセンアイテムを真のユーザの大部分に効果的にプロモートできることが示されている。
論文 参考訳(メタデータ) (2024-02-18T16:34:12Z) - A State Transition Model for Mobile Notifications via Survival Analysis [10.638942431625381]
通知の有効性を定量的に評価する状態遷移フレームワークを提案する。
ログ線形構造とワイブル分布を仮定したバッジ通知のサバイバルモデルを構築した。
この結果は,ロジスティック回帰モデルよりもアプリケーションの柔軟性が高く,予測精度が優れていることを示す。
論文 参考訳(メタデータ) (2022-07-07T05:38:39Z) - Speaker De-identification System using Autoencoders and Adversarial
Training [58.720142291102135]
本稿では,対人訓練とオートエンコーダに基づく話者識別システムを提案する。
実験結果から, 対向学習とオートエンコーダを組み合わせることで, 話者検証システムの誤り率が同等になることがわかった。
論文 参考訳(メタデータ) (2020-11-09T19:22:05Z) - Privacy-accuracy trade-offs in noisy digital exposure notifications [3.04585143845864]
携帯電話による接触追跡プロセスの自動化に関心がある。
Bluetoothなどのデータ交換技術を使って、ユーザー間の連絡先を記録したり、ポジティブな診断を報告したり、病気のユーザーに暴露されたユーザーに警告したりできる。
実用的なプロトコルを設計することは重要であるが、露出イベントをユーザーに通知することは、それ自体が秘密情報を漏洩させる可能性があることに気づくことが不可欠である。
論文 参考訳(メタデータ) (2020-11-08T15:00:38Z) - Backdoor Attack against Speaker Verification [86.43395230456339]
学習データを汚染することにより,話者検証モデルに隠れたバックドアを注入できることを示す。
また,既存のバックドア攻撃が話者認証攻撃に直接適用できないことも実証した。
論文 参考訳(メタデータ) (2020-10-22T11:10:08Z) - Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。
実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
論文 参考訳(メタデータ) (2020-06-10T16:05:05Z) - Decentralized Privacy-Preserving Proximity Tracing [50.27258414960402]
DP3TはSARS-CoV-2の普及を遅らせるための技術基盤を提供する。
システムは、個人やコミュニティのプライバシーとセキュリティのリスクを最小限にすることを目的としている。
論文 参考訳(メタデータ) (2020-05-25T12:32:02Z) - Privacy Guidelines for Contact Tracing Applications [19.094312133714023]
我々はコンタクトトレースアプリケーションが扱えるシナリオについて議論する。
動作を妨害したり、エンドユーザーのデータを誤用したりする様々な脅威アクターについて述べる。
我々は、異なる利害関係者の視点から、接触追跡アプリケーションのプライバシーガイドラインを提示する。
論文 参考訳(メタデータ) (2020-04-28T06:44:14Z) - A Snooze-less User-Aware Notification System for Proactive
Conversational Agents [6.4378876455245235]
通知をインテリジェントに発行し、抑制し、集約するアラートおよび通知フレームワークを提案する。
私たちのフレームワークはバックエンドサービスとしてデプロイできますが、アクティブな会話エージェントに統合するのに適しています。
論文 参考訳(メタデータ) (2020-03-04T14:31:21Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。