- Forscher in Wien demonstrierten die massenhafte Erfassung von WhatsApp-Nummern im globalen Maßstab.
- Es wurden 3.500 Milliarden Nummern erfasst, davon 57 % Profilbilder und 29 % öffentliche Texte.
- Meta führte im Oktober Geschwindigkeitsbegrenzungen ein und behauptet, dass die Nachrichtenverschlüsselung davon nicht betroffen sei.
- Zu den Risiken gehören gezielte Betrugsversuche und die Gefährdung in Ländern, in denen WhatsApp verboten ist.
Eine wissenschaftliche Untersuchung hat das Thema in den Fokus gerückt Sicherheitslücke im Kontaktermittlungssystem WhatsApp, das bei großflächiger Ausnutzung Es ermöglichte die Überprüfung von Telefonnummern und die massenhafte Zuordnung von Profildaten zu diesen.Die Erkenntnis beschreibt, wie ein routinemäßiger App-Prozess, wenn er in industriellem Tempo wiederholt wird, zu einer Quelle der Offenlegung von Informationen werden kann.
Die von einem Team der Universität Wien geleitete Studie zeigte, dass es möglich war, die Existenz von Konten zu überprüfen. Milliarden von Zahlenkombinationen über die Webversion, ohne dass es monatelang zu effektiven Sperrungen gekommen wäre. Laut den Autoren würden wir, wenn dieser Prozess nicht verantwortungsvoll durchgeführt worden wäre, über Folgendes sprechen: einer der größten jemals dokumentierten Datenskandale.
Wie die Lücke entstand: Massenzählung
Das Problem bestand nicht darin, die Verschlüsselung zu knacken, sondern in einer konzeptionellen Schwäche: Kontaktsuchtool des Dienstes. WhatsApp ermöglicht es Nutzern zu überprüfen, ob eine Telefonnummer registriert ist; die automatische und großflächige Wiederholung dieser Überprüfung hat die Tür für die globale Überwachung geöffnet.
Die österreichischen Forscher nutzten die Weboberfläche, um die Zahlen kontinuierlich zu testen und erreichten eine ungefähre Rate von 100 Millionen Schecks pro Stunde ohne wirksame Geschwindigkeitsbegrenzungen im analysierten Zeitraum. Dieses Volumen ermöglichte eine beispiellose Förderung.
Das Ergebnis des Experiments war eindeutig: Sie konnten Folgendes erlangen: Telefonnummern von 3.500 Milliarden Konten von WhatsApp. Darüber hinaus konnten sie für einen erheblichen Teil dieser Stichprobe öffentlich verfügbare Profildaten zuordnen.
Das Team stellte insbesondere fest, dass In 57 % der Fälle wurden Profilbilder aufgerufen, in 29 % öffentliche Statusmeldungen oder zusätzliche Informationen.Obwohl diese Felder von der Konfiguration jedes einzelnen Benutzers abhängen, erhöht ihre breite Verfügbarkeit das Risiko.
- 3.500 Milliarden Nummern wurden als bei WhatsApp registriert verifiziert.
- 57 % verfügen über ein öffentlich zugängliches Profilbild.
- 29 % mit durchsuchbarem Profiltext.
Frühere Warnungen, die nicht rechtzeitig beachtet wurden
Die Schwäche der Aufzählung war nicht gänzlich neu: bereits im Jahr 2017, der niederländische Forscher Loran Kloeze Er warnte davor, dass es möglich sei, die Überprüfung von Zahlen zu automatisieren und sie mit sichtbaren Daten zu verknüpfen.Diese Warnung deutete die aktuelle Situation bereits an.
Die jüngsten Arbeiten Wiens trieben diese Idee auf die Spitze und zeigte, dass Abhängigkeit von der Telefonnummer als eindeutiger Identifikator weiterhin problematischWie die Autoren hervorheben, die Zahlen Sie sind nicht als geheime Zugangsdaten gedacht.In der Praxis erfüllen sie diese Rolle jedoch in vielen Bereichen.
Eine weitere wichtige Schlussfolgerung der Studie ist, dass ein Großteil der persönlichen Daten seinen Wert über die Zeit behält: Das Team stellte fest, dass 58 % der im Facebook-Leak von 2021 offengelegten Telefone betroffen waren. Sie sind auch heute noch auf WhatsApp aktiv., was Korrelationen und anhaltende Kampagnen erleichtert.
Abgesehen von den Zahlen, Der Massenabfrageprozess ermöglichte die Ableitung bestimmter technischer Metadaten.Wie Clienttyp oder Betriebssystem Mitarbeiter und das Vorhandensein von Desktop-Versionen, was die Angriffsfläche für die Profilerstellung erweitert.
Metas Antwort: Geschwindigkeitsbegrenzungen und offizielle Haltung
Los investigadores Sie meldeten den Befund im April an Meta und löschten die generierte Datenbank nach deren Überprüfung.Das Unternehmen seinerseits setzte es im Oktober um. strengere Maßnahmen zur Begrenzung der Einspeisevergütung um die großflächige Erfassung über das Internet zu verhindern.
In Stellungnahmen gegenüber Fachmedien bedankte sich Meta für die Benachrichtigung im Rahmen seines Programms. Belohnungen für Misserfolge Er betonte, dass die angezeigten Informationen denjenigen entsprachen, die die jeweiligen Nutzer als sichtbar konfiguriert hatten. Er erklärte außerdem, dass er keine Hinweise auf einen missbräuchlichen Einsatz dieser Methode gefunden habe.
Das Unternehmen bestand darauf, dass Die Nachrichten blieben geschützt Aufgrund der Ende-zu-Ende-Verschlüsselung und der Tatsache, dass keine nicht-öffentlichen Daten abgerufen wurden, gab es keinerlei Anzeichen dafür, dass das kryptografische System gebrochen worden war.
Nach mehreren technischen Besprechungen belohnte WhatsApp die Forschung mit Dollar 17.500Für das Team diente der Prozess dazu, die Wirksamkeit der nach der Benachrichtigung eingesetzten neuen Abwehrmaßnahmen zu messen und zu testen.
Reale Risiken: von Betrug bis hin zu gezielten Übergriffen in Ländern mit Verboten
Abgesehen von den technischen Aspekten liegt der Haupteffekt dieser Offenlegung in der Praxis. Mit einer sichtbaren Telefonnummer und Profilinformationen wird alles viel einfacher. Social-Engineering-Kampagnen aufbauen und gezielte Betrugsmaschen, die die Kontextinformationen jedes Opfers ausnutzen.
Die Forscher identifizierten außerdem Millionen aktiver Konten in Gebieten, in denen WhatsApp verboten ist, wie zum Beispiel China, Iran oder MyanmarDie Sichtbarkeit dieser Zahlen könnte für Nutzer in Umgebungen mit hoher Überwachung persönliche oder rechtliche Konsequenzen haben.
Die massive Verfügbarkeit gültiger Telefone verstärkt die Spam, Doxxing und Phishing mit einer höheren Genauigkeit, insbesondere wenn das Profilbild oder der öffentliche Text Hinweise auf die Identität, die Beschäftigung oder verknüpfte soziale Netzwerke liefert.
Man sollte bedenken, dass Informationen, einmal in riesige Datenbanken aufgenommen, jahrelang zirkulieren können und sich mit anderen Lecks verbinden. Anreicherungsprofile und die Effektivität der Angriffe zu steigern.
Europa und Spanien: Warum das hier wichtig ist
In Spanien und dem Rest der EU, wo WhatsApp allgegenwärtig ist, ist die Offenlegung von Informationen in diesem Ausmaß besorgniserregend hinsichtlich seiner potenziellen Auswirkungen auf Millionen von Nutzern und UnternehmenObwohl Meta die Aufzählungsmethode korrigiert hat, entfacht der Vorfall erneut die Debatte über ein Design, das auf der Telefonnummer basiert.
Der Fall, in den ein europäisches Universitätsteam verwickelt ist, dient als Mahnung, dass selbst Funktionen, die auf Komfort ausgelegt sind – wie das sofortige Auffinden von Kontakten – Sie können zu Risikofaktoren werden, wenn sie nicht über solide und kontinuierlich überprüfte Verteidigungsanlagen verfügen..
Es unterstreicht auch die Notwendigkeit, die Datenschutzeinstellungen sorgfältig zu konfigurieren. Wenn das Profilbild oder der öffentliche Text mehr Informationen preisgibt als nötig, wird dessen weite Verbreitung zu einem Problem. Bedrohungsverstärker für private und professionelle Nutzer.
Für europäische Organisationen und Verwaltungen mit Sicherheitsverpflichtungen, Die Einschränkung der Datensichtbarkeit und die Stärkung interner Verifizierungsverfahren außerhalb der App tragen dazu bei, Reduzieren Sie die Angriffsfläche von Identitätsdiebstahl- oder Betrugskampagnen.
Was Sie jetzt tun können
Mangels einer alternativen Kennung, Die beste Verteidigung für den Benutzer beinhaltet Passen Sie die Optionen an Profil-Datenschutz und pflegen Sie umsichtige Kommunikationsgewohnheiten.
- Profilbild und -informationen auf „Meine Kontakte“ oder „Niemand“ beschränken.
- Vermeiden Sie es, sensible Daten oder persönliche Links in Ihren Statustext einzufügen..
- Seien Sie vorsichtig bei unerwarteten Nachrichten, selbst wenn Ihr Name oder Ihr Foto darauf erscheint..
- Bitte prüfen Sie dringende Anfragen oder Zahlungsanforderungen über einen Zweitkanal..
Obwohl der konkrete Weg für die Massenerhebung versperrt ist, diese Episode Beweise dafür, dass die Kombination aus öffentlichen Kennungen und kleinen Kontrollversäumnissen zu enormen Offenlegungen führen kann.Indem Sie die für andere sichtbaren Informationen über Ihr Konto auf ein Minimum beschränken, begrenzen Sie die Auswirkungen zukünftiger Abhörmethoden.
Österreichische Untersuchungen ergaben, dass Eine gemeinsame Funktion könnte im industriellen Maßstab genutzt werden, um Milliarden von Zahlen zu validieren und ihnen sichtbare Profile zuzuordnen.Meta hat die Grenzen verschärft und beteuert, dass es keine Beweise für Missbrauch gebe, aber Risiken des Social EngineeringDie Ergebnisse in Ländern mit Verboten und Datenspeicherung unterstreichen die Notwendigkeit, das auf Telefonnummern basierende Design zu überdenken und bei europäischen Nutzern strengere Datenschutzgewohnheiten zu fördern.
Ich bin ein Technik-Enthusiast, der seine „Geek“-Interessen zum Beruf gemacht hat. Ich habe mehr als 10 Jahre meines Lebens damit verbracht, modernste Technologie zu nutzen und aus purer Neugier an allen möglichen Programmen herumzubasteln. Mittlerweile habe ich mich auf Computertechnik und Videospiele spezialisiert. Das liegt daran, dass ich seit mehr als fünf Jahren für verschiedene Websites zum Thema Technologie und Videospiele schreibe und Artikel erstelle, die Ihnen die Informationen, die Sie benötigen, in einer für jeden verständlichen Sprache vermitteln möchten.
Bei Fragen reicht mein Wissen von allem rund um das Windows-Betriebssystem bis hin zu Android für Mobiltelefone. Und mein Engagement gilt Ihnen, ich bin immer bereit, ein paar Minuten zu investieren und Ihnen bei der Lösung aller Fragen in dieser Internetwelt zu helfen.