WhatsApp: Difekto permesis la eltiron de 3.500 miliardoj da numeroj kaj profildatumoj.

Akademia esploro atentigis sekureca difekto en la sistemo por malkovri kontaktojn WhatsApp, kiu, kiam ekspluatata grandskale, Ĝi ebligis la konfirmon de telefonnumeroj kaj la amasan asociigon de profildatumoj kun ili.La trovo priskribas kiel rutina aplikaĵa procezo povas fariĝi, se ripetata je industria rapideco, fonto de informekspozicio.

La studo, gvidata de teamo de la Universitato de Vieno, montris, ke eblas kontroli la ekziston de kontoj por miliardoj da nombrokombinaĵoj per la TTT-versio, sen efikaj blokoj dum monatoj. Laŭ la aŭtoroj, se tiu procezo ne estus plenumita respondece, ni parolus pri unu el la plej grandaj datenmalkovroj iam dokumentitaj.

Kiel la breĉo realiĝis: amasa nombrado

La problemo ne temis pri rompado de la ĉifrado, sed pri koncipa malforteco: la kontakta serĉilo de la servo. WhatsApp permesas al uzantoj kontroli ĉu telefonnumero estas registrita; ripetado de ĉi tiu kontrolo aŭtomate kaj grandskale malfermis la pordon al tutmonda spurado.

La aŭstraj esploristoj uzis la retan interfacon por kontinue testi nombrojn, atingante proksimuma rapideco de 100 milionoj da ĉekoj hore sen iuj ajn efektivaj rapidlimoj dum la analizita periodo. Tiu volumeno ebligis senprecedencan ekstraktadon.

La rezulto de la eksperimento estis decida: ili sukcesis akiri la telefonnumeroj de 3.500 miliardoj da kontoj per WhatsApp. Krome, ili povis asocii publike haveblajn profildatumojn por signifa parto de tiu specimeno.

Specife, la teamo rimarkis, ke Profilbildoj estis aliritaj en 57% de la kazoj, kaj publikaj statustekstoj aŭ pliaj informoj en 29%.Kvankam ĉi tiuj kampoj dependas de la agordo de ĉiu uzanto, ilia eksponiĝo je skalo plifortigas la riskon.

• 3.500 miliardoj da numeroj konfirmitaj kiel registritaj ĉe WhatsApp.
• 57% kun publike alirebla profilbildo.
• 29% kun serĉebla profilteksto.

Antaŭaj avertoj, kiuj ne estis atentitaj ĝustatempe

La malforteco de nombrado ne estis tute nova: jam en 2017, la nederlanda esploristo Loran Kloeze Li avertis, ke eblas aŭtomatigi la kontroladon de nombroj kaj asocii ilin kun videblaj datumoj.Tiu averto antaŭsignis la nunan situacion.

La lastatempa verko de Vieno portis tiun ideon al la ekstremo kaj montris, ke dependeco de la telefonnumero kiel unika identigilo restas problemaKiel la aŭtoroj atentigas, la nombroj Ili ne estas desegnitaj por funkcii kiel sekretaj akreditaĵojSed praktike ili plenumas tiun rolon en multaj servoj.

Alia grava konkludo de la studo estas, ke multe da personaj informoj konservas sian valoron laŭlonge de la tempo: La teamo trovis, ke 58% de la telefonoj eksponitaj en la Facebook-liko de 2021 Ili ankoraŭ estas aktivaj per WhatsApp hodiaŭ., kiu faciligas korelaciojn kaj persistajn kampanjojn.

Krom la nombroj, La amasa serĉprocezo permesis dedukti certajn teknikajn metadatenojn, kiel la tipo de kliento aŭ operaciumo dungito kaj la ĉeesto de skribtablaj versioj, kiu aldonas surfacon por profilado.

Respondo de Meta: rapidlimoj kaj oficiala sinteno

La esploristoj Ili raportis la trovaĵon al Meta en aprilo kaj forigis la generitan datumbazon post validigo.La kompanio, siaflanke, efektivigis ĝin en oktobro pli striktaj mezuroj por limigi la tarifon bloki grandskalan listigon per la reto.

En deklaroj senditaj al specialigitaj amaskomunikiloj, Meta esprimis dankemon pro la sciigo per sia programo de malsukceso rekompencoj Li emfazis, ke la montrataj informoj estis tio, kion ĉiu uzanto agordis kiel videblajn. Li ankaŭ deklaris, ke li trovis neniun pruvon pri malica misuzo de ĉi tiu metodo.

La kompanio insistis, ke la mesaĝoj restis protektitaj pro fin-al-fina ĉifrado kaj la fakto, ke neniuj nepublikaj datumoj estis aliritaj. Estis neniu indiko, ke la ĉifrada sistemo estis difektita.

Post pluraj teknikaj kunvenoj, WhatsApp rekompencis la esploradon per 17.500-dolarojPor la teamo, la procezo servis por mezuri kaj testi la efikecon de la novaj defendoj deplojitaj post la sciigo.

Realaj riskoj: de fraŭdo ĝis celado en landoj kun malpermesoj

Preter la teknikaj aspektoj, la ĉefa efiko de ĉi tiu eksponiĝo estas praktika. Kun telefonnumero kaj profilinformoj videblaj, ĝi fariĝas multe pli facila. krei sociajn inĝenierajn kampanjojn kaj celitaj fraŭdoj kiuj ekspluatas la kuntekstajn informojn de ĉiu viktimo.

La esploristoj ankaŭ identigis milionojn da aktivaj kontoj en teritorioj kie WhatsApp estas malpermesita, kiel ekzemple Ĉinio, Irano, aŭ MjanmaoLa videbleco de ĉi tiuj nombroj povus havi personajn aŭ jurajn konsekvencojn por uzantoj en kuntekstoj de alta gvatado.

La amasa havebleco de validaj telefonoj plibonigas la spamo, doksado kaj fiŝkaptado kun pli alta nivelo de precizeco, precipe kiam la profilbildo aŭ publika teksto provizas indicojn pri identeco, dungado aŭ ligitaj sociaj retoj.

Indas memori, ke informoj, post kiam aldonitaj al grandegaj datumbazoj, povas cirkuli dum jaroj, kombiniĝante kun aliaj likoj por riĉigi profilojn kaj pliigu la efikecon de la atakoj.

Eŭropo kaj Hispanio: kial ĝi gravas ĉi tie

En Hispanio kaj la resto de EU, kie WhatsApp estas ĉiea, la malkaŝo de informoj je ĉi tiu skalo maltrankvila pri ĝia ebla efiko sur milionoj da uzantoj kaj entreprenojKvankam Meta korektis la listigmetodon, la okazaĵo remalfermas la debaton pri dezajno kiu dependas de la telefonnumero.

La kazo, implikanta eŭropan universitatan teamon, servas kiel memorigilo, ke eĉ funkcioj desegnitaj por oportuno — kiel trovi kontaktojn tuj — Ili povas fariĝi vektoroj de risko se ili ne havas solidajn kaj kontinue konfirmitajn defendojn..

Ĝi ankaŭ emfazas la bezonon zorge agordi privatecajn agordojn. Se la profilbildo aŭ publika teksto malkaŝas pli da informoj ol necese, ĝia ĝeneraligita malkaŝo fariĝas... minacmultiplikato por privataj kaj profesiaj uzantoj.

Por eŭropaj organizaĵoj kaj administracioj kun sekurecaj devoj, Limigi datenvideblecon kaj plifortigi internajn konfirmprocedurojn ekster la aplikaĵo helpas redukti la ataksurfacon de imitado aŭ fraŭdaj kampanjoj.

Kion vi povas fari nun?

En la foresto de alternativa identigilo, La plej bona defendo por la uzanto implikas ĝustigi la opciojn profila privateco kaj adoptu prudentajn mesaĝkutimojn.

• Limigu profilbildon kaj informojn al "Miaj kontaktoj" aŭ "Neniu".
• Evitu inkluzivi sentemajn datumojn aŭ personajn ligilojn en via statusteksto..
• Atentu neatenditajn mesaĝojn, eĉ se ili montras vian nomon aŭ foton.
• Kontrolu iujn ajn urĝajn aŭ pagpetojn per dua kanalo.

Kvankam la specifa vojo por amasa nombrado estas fermita, ĉi tiu epizodo pruvoj, ke la kombinaĵo de publikaj identigiloj kaj malgrandaj malatentoj en kontroloj povas konduki al grandegaj malkovrojMinimumigi tion, kion aliaj povas vidi de via konto, limigas la efikon de estontaj rikoltaj teknikoj.

Aŭstra esplorado montris, ke Komuna funkcio povus esti ekspluatata je industria skalo por validigi miliardojn da nombroj kaj asocii videblajn profilojn kun ili.Meta plifortigis la limojn kaj asertas, ke ne ekzistas pruvoj pri misuzo, sed la riskoj de socia inĝenieradoLa rezultoj en landoj kun malpermesoj kaj datenpersisto elstarigas la bezonon revizii telefonnumer-bazitan dezajnon kaj instigi pli striktajn privatecajn kutimojn inter eŭropaj uzantoj.