- Výzkumníci ve Vídni demonstrovali hromadné sčítání čísel na WhatsAppu v globálním měřítku.
- Bylo získáno 3.500 miliardy čísel, profilové obrázky v 57 % a veřejné textové zprávy v 29 %.
- Společnost Meta zavedla omezení rychlosti v říjnu a tvrdí, že šifrování zpráv tím nebylo ovlivněno.
- Riziko zahrnuje cílené podvody a odhalení v zemích, kde je WhatsApp zakázán.
Akademický výzkum upozornil na bezpečnostní chyba v systému vyhledávání kontaktů WhatsApp, který při velkém zneužívání Umožňovalo ověřování telefonních čísel a hromadné propojování profilových dat s nimi.Zjištění popisuje, jak se rutinní proces aplikace může stát, pokud se opakuje průmyslovým tempem, zdrojem úniku informací.
Studie vedená týmem z Vídeňské univerzity prokázala, že je možné ověřit existenci účtů pro miliardy číselných kombinací prostřednictvím webové verze, bez účinných bloků po celé měsíce. Podle autorů, kdyby tento proces nebyl proveden zodpovědně, hovořili bychom o jeden z největších zdokumentovaných úniků dat.
Jak se mezera projevila: hromadné sčítání
Problém nebyl v prolomení šifrování, ale v koncepční slabině: nástroj pro vyhledávání kontaktů služby. WhatsApp umožňuje uživatelům ověřit, zda je telefonní číslo registrováno; automatické a rozsáhlé opakování této kontroly otevřelo dveře globálnímu sledování.
Rakouští vědci používali webové rozhraní k průběžnému testování čísel a dosáhli přibližná rychlost 100 milionů kontrol za hodinu bez jakýchkoli efektivních omezení rychlosti během analyzovaného období. Tento objem umožnil bezprecedentní těžbu.
Výsledek experimentu byl přesvědčivý: podařilo se jim získat telefonní čísla z 3.500 miliardy účtů z WhatsApp. Kromě toho byli schopni propojit veřejně dostupná profilová data pro významnou část tohoto vzorku.
Tým konkrétně poznamenal, že Profilové obrázky byly zobrazeny v 57 % případů a veřejné statusy nebo doplňující informace v 29 %.Ačkoli tato pole závisí na konfiguraci každého uživatele, jejich vystavení ve velkém měřítku zvyšuje riziko.
- 3.500 miliardy čísel ověřených jako registrovaných na WhatsAppu.
- 57 % s veřejně přístupnou profilovou fotkou.
- 29 % s prohledávatelným textem profilu.
Předchozí varování, která nebyla včas respektována
Slabost výčtu nebyla úplně nová: již v roce 2017, nizozemský výzkumník Loran Kloeze Varoval, že je možné automatizovat kontrolu čísel a propojit je s viditelnými daty.Toto varování předznamenávalo současnou situaci.
V nedávné práci Vienny tuto myšlenku dovedla do extrému a ukázalo, že závislost na telefonním čísle jakožto jedinečný identifikátor zůstává problematickýJak autoři zdůrazňují, čísla Nejsou navrženy tak, aby fungovaly jako tajné přihlašovací údaje.Ale v praxi tuto roli plní v mnoha službách.
Dalším relevantním závěrem studie je, že velká část osobních údajů si v průběhu času zachovává svou hodnotu: Tým zjistil, že 58 % telefonů odhalených při úniku informací z Facebooku v roce 2021 Dodnes jsou stále aktivní na WhatsAppu., což usnadňuje korelace a trvalé kampaně.
Kromě čísel, Proces hromadného dotazování umožnil odvodit určitá technická metadataJako typ klienta nebo operačního systému zaměstnanec a přítomnost desktopových verzí, což přidává plochu pro profilování.
Metova reakce: rychlostní limity a oficiální postoj
Los investigadores Nález nahlásili společnosti Meta v dubnu a po ověření vygenerovanou databázi smazali.Společnost ji sama zavedla v říjnu. přísnější opatření omezující sazby blokovat rozsáhlé výčty přes web.
V prohlášeních zaslaných specializovaným médiím vyjádřila Meta vděčnost za oznámení prostřednictvím svého programu odměny za neúspěch Zdůraznil, že zobrazené informace byly ty, které si každý uživatel nastavil jako viditelné. Také uvedl, že nenalezl žádné důkazy o zneužití této metody.
Společnost trvala na tom, že zprávy zůstaly chráněny kvůli end-to-end šifrování a skutečnosti, že nebyl přístup k žádným neveřejným datům. Nic nenasvědčovalo tomu, že by byl kryptografický systém prolomen.
Po několika technických schůzkách WhatsApp odměnil výzkum Americký dolar 17.500Pro tým tento proces sloužil k měření a testování účinnosti nových obranných opatření nasazených po oznámení.
Reálná rizika: od podvodů po cílení v zemích se zákazy
Kromě technických aspektů je hlavní dopad této prezentace praktický. S viditelným telefonním číslem a informacemi z profilu je to mnohem snazší. vytvářet kampaně sociálního inženýrství a cílené podvody, které zneužívají kontextové informace každé oběti.
Výzkumníci také identifikovali miliony aktivních účtů v oblastech, kde je WhatsApp zakázán, jako například Čína, Írán nebo MyanmarViditelnost těchto čísel by mohla mít osobní nebo právní důsledky pro uživatele v kontextu vysoce monitorovaných služeb.
Masivní dostupnost platných telefonů zvyšuje spam, doxxing a phishing s vyšší úrovní přesnosti, zejména pokud profilový obrázek nebo veřejný text poskytuje vodítka o identitě, zaměstnání nebo propojených sociálních sítích.
Je třeba si uvědomit, že jakmile jsou informace přidány do obrovských databází, mohou kolovat po celé roky a kombinovat se s dalšími úniky... obohatit profily a zvýšit účinnost útoků.
Evropa a Španělsko: proč je to tady důležité
Ve Španělsku a zbytku EU, kde je WhatsApp všudypřítomný, je vystavení informacím v tomto rozsahu znepokojen jeho potenciálním dopadem na miliony uživatelů a firemAčkoli Meta opravila metodu výčtu, incident znovu otevírá debatu o designu, který se spoléhá na telefonní číslo.
Případ, který se týká evropského univerzitního týmu, slouží jako připomínka toho, že i funkce navržené pro pohodlí – jako je okamžité vyhledávání kontaktů – Mohou se stát vektory rizika, pokud nemají solidní a průběžně ověřovanou obranu..
Zdůrazňuje také potřebu pečlivě konfigurovat nastavení soukromí. Pokud profilový obrázek nebo veřejný text odhalí více informací, než je nutné, jeho široké zveřejnění se stává... multiplikátor hrozby pro soukromé i profesionální uživatele.
Pro evropské organizace a administrativy s bezpečnostními povinnostmi, Omezení viditelnosti dat a posílení interních ověřovacích postupů mimo aplikaci pomáhá zmenšit útočnou plochu předstírání identity nebo podvodných kampaní.
Co můžete udělat hned teď
V případě absence alternativního identifikátoru, Nejlepší obrana pro uživatele zahrnuje upravit možnosti soukromí profilu a osvojte si obezřetné návyky v oblasti komunikace.
- Omezit profilový obrázek a informace na „Moje kontakty“ nebo „Nikdo“.
- Vyhněte se vkládání citlivých údajů nebo osobních odkazů do textu statusu..
- Dávejte si pozor na neočekávané zprávy, i když se v nich objevuje vaše jméno nebo fotografie.
- Ověřte všechny urgentní nebo platební požadavky prostřednictvím sekundárního kanálu.
Ačkoli byla specifická cesta pro hromadné sčítání lidu uzavřena, tato epizoda důkazy o tom, že kombinace veřejných identifikátorů a malých přehlédnutí v kontrolách může vést k enormnímu odhaleníMinimalizace toho, co ostatní mohou vidět z vašeho účtu, omezuje dopad budoucích technik sběru dat.
Rakouský výzkum ukázal, že Běžná funkce by mohla být využita v průmyslovém měřítku k ověření miliard čísel a přiřazení viditelných profilů k nim.Meta zpřísnila limity a tvrdí, že neexistují žádné důkazy o zneužívání, ale rizika sociálního inženýrstvíZjištění v zemích se zákazy a perzistencí dat zdůrazňují potřebu přezkoumat design založený na telefonních číslech a podpořit přísnější návyky v oblasti ochrany soukromí mezi evropskými uživateli.
Jsem technologický nadšenec, který ze svých „geekovských“ zájmů udělal profesi. Strávil jsem více než 10 let svého života používáním nejmodernějších technologií a vrtáním se všemi druhy programů z čisté zvědavosti. Nyní se specializuji na počítačovou techniku a videohry. Je to proto, že již více než 5 let píšu pro různé webové stránky o technologiích a videohrách a tvořím články, které se vám snaží poskytnout informace, které potřebujete, v jazyce, který je srozumitelný všem.
Pokud máte nějaké dotazy, mé znalosti sahají od všeho, co se týká operačního systému Windows a také Androidu pro mobilní telefony. A můj závazek je vůči vám, jsem vždy ochoten strávit pár minut a pomoci vám vyřešit jakékoli otázky, které můžete mít v tomto internetovém světě.