WhatsApp: 'n Fout het die onttrekking van 3.500 miljard nommers en profieldata moontlik gemaak.

'n Akademiese ondersoek het die kollig geplaas op sekuriteitsfout in die kontakontdekkingstelsel WhatsApp, wat, wanneer dit op groot skaal uitgebuit word, Dit het die verifikasie van telefoonnommers en die massa-assosiasie van profieldata met hulle moontlik gemaak.Die bevinding beskryf hoe 'n roetine-appproses, indien dit teen 'n industriële tempo herhaal word, 'n bron van inligtingblootstelling kan word.

Die studie, gelei deur 'n span van die Universiteit van Wene, het getoon dat dit moontlik was om die bestaan ​​van rekeninge vir miljarde getalkombinasies deur die webweergawe, sonder effektiewe blokkasies vir maande. Volgens die outeurs, as daardie proses nie verantwoordelik uitgevoer was nie, sou ons praat oor een van die grootste data-blootstellings ooit gedokumenteer.

Hoe die gaping ontstaan ​​het: massa-enumerasie

Die probleem het nie gegaan oor die breek van die enkripsie nie, maar oor 'n konseptuele swakheid: die kontak soekinstrument van die diens. WhatsApp laat gebruikers toe om te kyk of 'n telefoonnommer geregistreer is; die outomatiese en grootskaalse herhaling van hierdie kontrole het die deur oopgemaak vir globale dophou.

Die Oostenrykse navorsers het die webkoppelvlak gebruik om syfers voortdurend te toets en het 'n benaderde tempo van 100 miljoen tjeks per uur sonder enige effektiewe spoedbeperkings gedurende die geanaliseerde periode. Daardie volume het 'n ongekende onttrekking moontlik gemaak.

Die resultaat van die eksperiment was deurslaggewend: hulle kon die telefoonnommers van 3.500 miljard rekeninge van WhatsApp. Daarbenewens kon hulle publiek beskikbare profieldata vir 'n beduidende gedeelte van daardie steekproef assosieer.

Spesifiek het die span opgemerk dat Profielfoto's is in 57% van gevalle verkry, en openbare statustekste of bykomende inligting in 29%.Alhoewel hierdie velde van elke gebruiker se konfigurasie afhang, versterk hul blootstelling op skaal die risiko.

• 3.500 miljard nommers geverifieer as geregistreer op WhatsApp.
• 57% met 'n publiek toeganklike profielfoto.
• 29% met soekbare profielteks.

Vorige waarskuwings wat nie betyds in ag geneem is nie

Die swakheid van opsomming was nie heeltemal nuut nie: reeds in 2017, die Nederlandse navorser Loran Kloeze Hy het gewaarsku dat dit moontlik is om die kontrole van getalle te outomatiseer en dit met sigbare data te assosieer.Daardie waarskuwing het die huidige situasie voorafgeskadu.

Wene se onlangse werk het daardie idee tot die uiterste geneem en het getoon dat afhanklikheid van die telefoonnommer as 'n unieke identifiseerder bly problematiesSoos die outeurs uitwys, die syfers Hulle is nie ontwerp om as geheime geloofsbriewe op te tree nieMaar in die praktyk vervul hulle daardie rol in baie dienste.

Nog 'n relevante gevolgtrekking van die studie is dat baie van die persoonlike inligting sy waarde oor tyd behou: Die span het bevind dat 58% van die fone wat in die 2021 Facebook-lek blootgestel is Hulle is vandag nog aktief op WhatsApp., wat korrelasies en volgehoue ​​veldtogte fasiliteer.

Behalwe die getalle, Die massa-navraagproses het toegelaat dat sekere tegniese metadata afgelei word, soos die tipe kliënt of bedryfstelsel werknemer en die teenwoordigheid van rekenaarweergawes, wat oppervlakte vir profilering byvoeg.

Meta se reaksie: spoedbeperkings en amptelike standpunt

Die navorsers Hulle het die bevinding in April aan Meta gerapporteer en die gegenereerde databasis uitgevee nadat hulle dit gevalideer het.Die maatskappy het dit op sy beurt in Oktober geïmplementeer strenger tempobeperkende maatreëls om grootskaalse opsomming via die web te blokkeer.

In verklarings wat aan gespesialiseerde media-afsetpunte gestuur is, het Meta hul dankbaarheid uitgespreek vir die kennisgewing deur middel van hul program van mislukkingsbelonings Hy het beklemtoon dat die inligting wat vertoon word, is wat elke gebruiker as sigbaar gekonfigureer het. Hy het ook gesê dat hy geen bewyse van kwaadwillige misbruik van hierdie metode gevind het nie.

Die maatskappy het daarop aangedring dat die boodskappe het beskerm gebly as gevolg van end-tot-end enkripsie en die feit dat geen nie-openbare data verkry is nie. Daar was geen aanduiding dat die kriptografiese stelsel gebreek was nie.

Na verskeie tegniese vergaderings het WhatsApp die navorsing beloon met $17.500Vir die span het die proses gedien om die doeltreffendheid van die nuwe verdediging wat na die kennisgewing ontplooi is, te meet en te toets.

Werklike risiko's: van bedrog tot teikenstelling in lande met verbod

Benewens die tegniese aspekte, is die hoofimpak van hierdie blootstelling prakties. Met 'n telefoonnommer en profielinligting sigbaar, word dit baie makliker. bou sosiale ingenieurswese-veldtogte en geteikende swendelary wat die kontekstuele inligting van elke slagoffer uitbuit.

Die navorsers het ook miljoene aktiewe rekeninge geïdentifiseer in gebiede waar WhatsApp verbied is, soos China, Iran of MianmarDie sigbaarheid van hierdie nommers kan persoonlike of wetlike gevolge hê vir gebruikers in hoë-moniteringskontekste.

Die massiewe beskikbaarheid van geldige telefone verbeter die strooipos, doxing en phishing met 'n hoër vlak van akkuraatheid, veral wanneer die profielfoto of publieke teks leidrade verskaf oor identiteit, indiensneming of gekoppelde sosiale netwerke.

Dit is die moeite werd om te onthou dat inligting, sodra dit by enorme databasisse gevoeg is, jare lank kan sirkuleer en met ander lekkasies kan kombineer om verryk profiele en verhoog die doeltreffendheid van die aanvalle.

Europa en Spanje: hoekom dit hier saak maak

In Spanje en die res van die EU, waar WhatsApp alomteenwoordig is, is die blootstelling van inligting op hierdie skaal bekommerd oor die potensiële impak daarvan op miljoene gebruikers en besighedeAlhoewel Meta die opsommingsmetode reggestel het, heropen die voorval die debat oor 'n ontwerp wat op die telefoonnommer staatmaak.

Die saak, waarby 'n Europese universiteitspan betrokke is, dien as 'n herinnering dat selfs funksies wat vir gerief ontwerp is – soos om kontakte onmiddellik te vind – Hulle kan vektore van risiko word as hulle nie soliede en voortdurend geverifieerde verdediging het nie..

Dit beklemtoon ook die noodsaaklikheid om privaatheidsinstellings versigtig te konfigureer. As die profielfoto of publieke teks meer inligting as nodig openbaar, word die wydverspreide blootstelling daarvan 'n bedreigingsvermenigvuldiger vir privaat en professionele gebruikers.

Vir Europese organisasies en administrasies met veiligheidsverpligtinge, Die beperking van datasigbaarheid en die versterking van interne verifikasieprosedures buite die toepassing help om verminder die aanvalsoppervlak van nabootsing- of bedrogveldtogte.

Wat kan jy nou dadelik doen?

In die afwesigheid van 'n alternatiewe identifiseerder, Die beste verdediging vir die gebruiker behels pas die opsies aan profiel privaatheid en om verstandige boodskapgewoontes aan te neem.

• Beperk profielfoto en inligting tot "My kontakte" of "Niemand".
• Vermy die insluiting van sensitiewe data of persoonlike skakels in jou statusteks..
• Wees versigtig vir onverwagte boodskappe, selfs al wys hulle jou naam of foto..
• Verifieer enige dringende of betalingsversoeke deur 'n sekondêre kanaal.

Alhoewel die spesifieke weg vir massa-enumerasie gesluit is, is hierdie episode bewyse dat die kombinasie van openbare identifiseerders en klein oorsigte in beheermaatreëls tot enorme blootstellings kan leiDeur die siening van ander mense van jou rekening tot 'n minimum te beperk, word die impak van toekomstige oestegnieke beperk.

Oostenrykse navorsing het getoon dat 'n Algemene funksie kan op 'n industriële skaal benut word om miljarde getalle te valideer en sigbare profiele daarmee te assosieer.Meta het die perke verskerp en hou vol dat daar geen bewyse van misbruik is nie, maar die sosiale ingenieurswese risiko'sDie bevindinge in lande met verbod en data-persistentie beklemtoon die behoefte om telefoonnommer-gebaseerde ontwerp te hersien en strenger privaatheidsgewoontes onder Europese gebruikers aan te moedig.