WhatsApp: Roedd nam yn caniatáu echdynnu 3.500 biliwn o rifau a data proffil.

Mae ymchwiliad academaidd wedi rhoi sylw i nam diogelwch yn y system darganfod cysylltiadau WhatsApp, a phan gaiff ei gamddefnyddio ar raddfa fawr, Roedd yn caniatáu gwirio rhifau ffôn a chysylltiad torfol data proffil â nhw.Mae'r canfyddiad yn disgrifio sut y gall proses ap arferol ddod, os caiff ei hailadrodd ar gyflymder diwydiannol, yn ffynhonnell amlygiad i wybodaeth.

Dangosodd yr astudiaeth, dan arweiniad tîm o Brifysgol Fienna, ei bod hi'n bosibl gwirio bodolaeth cyfrifon ar gyfer biliynau o gyfuniadau rhifau drwy'r fersiwn we, heb flociau effeithiol am fisoedd. Yn ôl yr awduron, pe na bai'r broses honno wedi'i chynnal yn gyfrifol, byddem yn sôn am un o'r datguddiadau data mwyaf a ddogfennwyd erioed.

Sut y daeth y bwlch i'r amlwg: cyfrifiad màs

Nid torri'r amgryptio oedd y broblem, ond gwendid cysyniadol: y offeryn chwilio am gysylltiadau y gwasanaeth. Mae WhatsApp yn caniatáu i ddefnyddwyr wirio a yw rhif ffôn wedi'i gofrestru; mae ailadrodd y gwiriad hwn yn awtomatig ac ar raddfa fawr wedi agor y drws i olrhain byd-eang.

Defnyddiodd yr ymchwilwyr o Awstria'r rhyngwyneb gwe i brofi niferoedd yn barhaus, gan gyrraedd y cyfradd fras o 100 miliwn o wiriadau yr awr heb unrhyw derfynau cyflymder effeithiol yn ystod y cyfnod a ddadansoddwyd. Gwnaeth y gyfrol honno echdynnu digynsail yn bosibl.

Roedd canlyniad yr arbrawf yn bendant: llwyddon nhw i gael y rhifau ffôn o 3.500 biliwn o gyfrifon o WhatsApp. Yn ogystal, roeddent yn gallu cysylltu data proffil sydd ar gael yn gyhoeddus ar gyfer rhan sylweddol o'r sampl honno.

Yn benodol, nododd y tîm fod Cafwyd mynediad at luniau proffil mewn 57% o achosion, a negeseuon testun statws cyhoeddus neu wybodaeth ychwanegol mewn 29%.Er bod y meysydd hyn yn dibynnu ar gyfluniad pob defnyddiwr, mae eu hamlygiad ar raddfa fawr yn chwyddo'r risg.

• 3.500 biliwn o rifau wedi'u gwirio fel rhai sydd wedi'u cofrestru ar WhatsApp.
• 57% gyda llun proffil sydd ar gael i'r cyhoedd.
• 29% gyda thestun proffil chwiliadwy.

Rhybuddion blaenorol na chawsant eu hystyried mewn pryd

Nid oedd gwendid y cyfrifiad yn gwbl newydd: eisoes yn 2017, yr ymchwilydd o'r Iseldiroedd Loran Kloeze Rhybuddiodd ei bod hi'n bosibl awtomeiddio gwirio rhifau a'u cysylltu â data gweladwy.Roedd y rhybudd hwnnw'n rhagweld y sefyllfa bresennol.

Aeth gwaith diweddar Vienna â'r syniad hwnnw i'r eithaf a dangosodd hynny dibyniaeth ar y rhif ffôn gan fod dynodwr unigryw yn parhau i fod yn broblemusFel mae'r awduron yn ei nodi, mae'r niferoedd Nid ydynt wedi'u cynllunio i weithredu fel tystlythyrau cyfrinacholOnd yn ymarferol maen nhw'n cyflawni'r rôl honno mewn llawer o wasanaethau.

Casgliad perthnasol arall o’r astudiaeth yw bod llawer o’r wybodaeth bersonol yn cadw ei gwerth dros amser: Canfu'r tîm fod 58% o'r ffonau a ddatgelwyd yn y gollyngiad Facebook yn 2021 Maen nhw'n dal yn weithgar ar WhatsApp heddiw., sy'n hwyluso cydberthnasau ac ymgyrchoedd parhaus.

Heblaw am y niferoedd, Roedd y broses ymholiad torfol yn caniatáu casglu rhai metadata technegol, fel y math o gleient neu system weithredu gweithiwr a phresenoldeb fersiynau bwrdd gwaith, sy'n ychwanegu arwynebedd ar gyfer proffilio.

Ymateb Meta: terfynau cyflymder a safbwynt swyddogol

Ymchwilwyr Fe wnaethon nhw adrodd am y canfyddiad i Meta ym mis Ebrill a dileu'r gronfa ddata a gynhyrchwyd ar ôl ei dilysu.Fe wnaeth y cwmni, am ei ran, ei weithredu ym mis Hydref mesurau cyfyngu cyfradd llymach i rwystro cyfrifo ar raddfa fawr drwy'r we.

Mewn datganiadau a anfonwyd at gyfryngau arbenigol, mynegodd Meta ddiolchgarwch am yr hysbysiad drwy ei raglen o gwobrau methiant Pwysleisiodd mai'r wybodaeth a ddangoswyd oedd yr hyn yr oedd pob defnyddiwr wedi'i ffurfweddu fel gweladwy. Dywedodd hefyd nad oedd wedi canfod unrhyw dystiolaeth o gamddefnyddio maleisus o'r dull hwn.

Mynnodd y cwmni fod y negeseuon yn parhau i fod wedi'u diogelu oherwydd amgryptio o'r dechrau i'r diwedd a'r ffaith na chafodd unrhyw ddata nad oedd yn gyhoeddus ei gyrchu. Nid oedd unrhyw arwydd bod y system cryptograffig wedi'i thorri.

Ar ôl sawl cyfarfod technegol, gwobrwyodd WhatsApp yr ymchwil gyda $17.500I'r tîm, roedd y broses yn mesur a phrofi effeithiolrwydd yr amddiffynfeydd newydd a ddefnyddiwyd ar ôl yr hysbysiad.

Risgiau go iawn: o dwyll i dargedu mewn gwledydd â gwaharddiadau

Y tu hwnt i'r agweddau technegol, prif effaith yr amlygiad hwn yw ymarferol. Gyda rhif ffôn a gwybodaeth proffil yn weladwy, mae'n dod yn llawer haws. adeiladu ymgyrchoedd peirianneg gymdeithasol a sgamiau wedi'u targedu sy'n manteisio ar wybodaeth gyd-destunol pob dioddefwr.

Nododd yr ymchwilwyr hefyd filiynau o gyfrifon gweithredol mewn tiriogaethau lle mae WhatsApp wedi'i wahardd, fel Tsieina, Iran, neu MyanmarGallai gwelededd y rhifau hyn gael canlyniadau personol neu gyfreithiol i ddefnyddwyr mewn cyd-destunau gwyliadwriaeth uchel.

Mae argaeledd enfawr ffonau dilys yn gwella'r sbam, doxing a phishing gyda lefel uwch o gywirdeb, yn enwedig pan fydd y llun proffil neu'r testun cyhoeddus yn rhoi cliwiau am hunaniaeth, cyflogaeth, neu rwydweithiau cymdeithasol cysylltiedig.

Mae'n werth cofio, ar ôl ei hychwanegu at gronfeydd data enfawr, y gall gwybodaeth gylchredeg am flynyddoedd, gan gyfuno â gollyngiadau eraill i cyfoethogi proffiliau a chynyddu effeithiolrwydd yr ymosodiadau.

Ewrop a Sbaen: pam ei fod yn bwysig yma

Yn Sbaen a gweddill yr UE, lle mae WhatsApp ym mhobman, mae amlygiad gwybodaeth ar y raddfa hon yn bryderus am ei effaith bosibl ar miliynau o ddefnyddwyr a busnesauEr bod Meta wedi cywiro'r dull cyfrifo, mae'r digwyddiad yn ailagor y ddadl ynghylch dyluniad sy'n dibynnu ar y rhif ffôn.

Mae'r achos, sy'n cynnwys tîm prifysgol Ewropeaidd, yn ein hatgoffa bod hyd yn oed nodweddion a gynlluniwyd er hwylustod—fel dod o hyd i gysylltiadau ar unwaith— Gallant ddod yn fectorau risg os nad oes ganddynt amddiffynfeydd cadarn sy'n cael eu gwirio'n barhaus.

Mae hefyd yn tynnu sylw at yr angen i ffurfweddu gosodiadau preifatrwydd yn ofalus. Os yw'r llun proffil neu'r testun cyhoeddus yn datgelu mwy o wybodaeth nag sydd ei angen, mae ei amlygiad eang yn dod yn lluosydd bygythiad ar gyfer defnyddwyr preifat a phroffesiynol.

Ar gyfer sefydliadau a gweinyddiaethau Ewropeaidd sydd â rhwymedigaethau diogelwch, Mae cyfyngu ar welededd data a chryfhau gweithdrefnau gwirio mewnol y tu allan i'r ap yn helpu i reducir la superficie de ataque ymgyrchoedd dynwared neu dwyll.

Beth allwch chi ei wneud ar hyn o bryd?

Yn absenoldeb dynodwr amgen, Yr amddiffyniad gorau i'r defnyddiwr yw addasu opsiynau preifatrwydd proffil a mabwysiadu arferion negeseua doeth.

• Cyfyngu llun proffil a gwybodaeth i “Fy nghysylltiadau” neu “Neb”.
• Osgowch gynnwys data sensitif neu ddolenni personol yn eich testun statws..
• Byddwch yn ofalus o negeseuon annisgwyl, hyd yn oed os ydyn nhw'n dangos eich enw neu'ch llun.
• Gwirio unrhyw geisiadau brys neu geisiadau am daliad drwy sianel eilaidd.

Er bod y llwybr penodol ar gyfer cyfrif torfol wedi'i gau, y bennod hon tystiolaeth y gall y cyfuniad o ddynodwyr cyhoeddus ac esgeulustod bach mewn rheolaethau arwain at amlygiadau enfawrMae cadw'r hyn y gall eraill ei weld o'ch cyfrif i'r lleiafswm yn cyfyngu ar effaith technegau cynaeafu yn y dyfodol.

Dangosodd ymchwil Awstriaidd fod Gellid manteisio ar swyddogaeth gyffredin ar raddfa ddiwydiannol i ddilysu biliynau o rifau a chysylltu proffiliau gweladwy â nhw.Mae Meta wedi tynhau'r terfynau ac yn mynnu nad oes tystiolaeth o gamdriniaeth, ond y risgiau peirianneg gymdeithasolMae'r canfyddiadau mewn gwledydd â gwaharddiadau a pharhad data yn tynnu sylw at yr angen i adolygu dyluniad sy'n seiliedig ar rifau ffôn ac i annog arferion preifatrwydd llymach ymhlith defnyddwyr Ewropeaidd.