WhatsApp: Haavoittuvuus mahdollisti 3.500 miljardin numeron ja profiilitiedon poimimisen.

Akateeminen tutkimus on nostanut esiin yhteystietojen etsintäjärjestelmän tietoturvaongelma WhatsApp, jota laajamittaisesti hyväksikäytettäessä Se mahdollisti puhelinnumeroiden varmentamisen ja profiilitietojen massaliittämisen niihin.Löydös kuvaa, kuinka rutiininomainen sovellusprosessi voi teolliseen tahtiin toistettuna muuttua tiedonlähteeksi.

Wienin yliopiston johtama tutkimus osoitti, että tilien olemassaolo oli mahdollista tarkistaa miljardeja numeroyhdistelmiä verkkoversion kautta ilman tehokkaita estoja kuukausien ajan. Kirjoittajien mukaan, jos tätä prosessia ei olisi toteutettu vastuullisesti, puhuisimme tästä yksi suurimmista koskaan dokumentoiduista tietovuodoista.

Miten aukko syntyi: massalaskenta

Ongelma ei ollut salauksen murtamisessa, vaan käsitteellisessä heikkoudessa: yhteystietojen hakutyökalu palvelusta. WhatsApp antaa käyttäjien tarkistaa, onko puhelinnumero rekisteröity; tämän tarkistuksen toistaminen automaattisesti ja laajamittaisesti on avannut oven globaalille seurannalle.

Itävaltalaiset tutkijat käyttivät verkkokäyttöliittymää numeroiden jatkuvaan testaamiseen ja saavuttivat noin 100 miljoonaa tarkistusta tunnissa ilman todellisia nopeusrajoituksia analysoituina aikoina. Tämä määrä mahdollisti ennennäkemättömän louhinnan.

Kokeen tulos oli ratkaiseva: he pystyivät saamaan puhelinnumeroita 3.500 miljardilta tililtä WhatsApp. Lisäksi he pystyivät yhdistämään julkisesti saatavilla olevia profiilitietoja merkittävään osaan kyseistä otosta.

Tarkemmin sanottuna joukkue totesi, että Profiilikuvia käytettiin 57 prosentissa tapauksista ja julkisia statustekstejä tai lisätietoja 29 prosentissa.Vaikka nämä kentät riippuvat kunkin käyttäjän määrityksistä, niiden altistuminen skaalautuvasti lisää riskiä.

• 3.500 miljardia numeroa on vahvistettu WhatsAppissa rekisteröidyiksi.
• 57 %:lla on julkisesti saatavilla oleva profiilikuva.
• 29 %:lla on haettava profiiliteksti.

Aiemmat varoitukset, joita ei huomioitu ajoissa

Luettelon heikkous ei ollut täysin uusi: jo vuonna 2017, hollantilainen tutkija Loran Klöze Hän varoitti, että numeroiden tarkistaminen on mahdollista automatisoida ja yhdistää ne näkyvään dataan.Tuo varoitus ennusti nykytilannetta.

Wienin viimeaikainen työ vei ajatuksen äärimmäisyyksiin ja osoitti, että riippuvuus puhelinnumerosta yksilöllisenä tunnisteena on edelleen ongelmallistaKuten kirjoittajat huomauttavat, luvut Niitä ei ole suunniteltu toimimaan salaisina tunnisteinaMutta käytännössä ne täyttävät tuon roolin monissa palveluissa.

Tutkimuksen toinen olennainen johtopäätös on, että suuri osa henkilötiedoista säilyttää arvonsa ajan kuluessa: Tutkimusryhmä havaitsi, että 58 % vuoden 2021 Facebook-vuodossa paljastuneista puhelimista He ovat edelleen aktiivisia WhatsAppissa tänäkin päivänä., mikä helpottaa korrelaatioita ja jatkuvia kampanjoita.

Numeroiden lisäksi, Massakyselyprosessi mahdollisti tiettyjen teknisten metatietojen päättelyn, kuten asiakasohjelman tai käyttöjärjestelmän tyyppi työntekijä ja työpöytäversioiden olemassaolo, mikä lisää profilointipinta-alaa.

Metan vastaus: nopeusrajoitukset ja virallinen kanta

Tutkijat He raportoivat löydöksestä Metalle huhtikuussa ja poistivat luodun tietokannan sen validoinnin jälkeen.Yhtiö puolestaan ​​otti sen käyttöön lokakuussa tiukemmat korkorajoitukset estääkseen laajamittaisen luetteloinnin verkossa.

Erikoistuneille tiedotusvälineille lähettämissään lausunnoissa Meta ilmaisi kiitollisuutensa ilmoituksesta ohjelmansa kautta. epäonnistumispalkinnot Hän korosti, että näytetyt tiedot olivat sitä, mitä kukin käyttäjä oli määrittänyt näkyväksi. Hän totesi myös, ettei ollut löytänyt todisteita tämän menetelmän tahallisesta väärinkäytöstä.

Yhtiö väitti, että viestit pysyivät suojattuina päästä päähän -salauksen ja sen tosiasian vuoksi, että ei-julkisiin tietoihin ei päästy käsiksi. Ei ollut viitteitä siitä, että kryptografinen järjestelmä olisi murrettu.

Useiden teknisten tapaamisten jälkeen WhatsApp palkitsi tutkimuksen Yhdysvaltain dollari 17.500Tiimin kannalta prosessi mittasi ja testasi ilmoituksen jälkeen käyttöönotettujen uusien puolustuskeinojen tehokkuutta.

Todelliset riskit: petoksista kohdistamiseen kieltomaihin

Teknisten näkökohtien lisäksi tämän näkyvyyden tärkein vaikutus on käytännöllinen. Kun puhelinnumero ja profiilitiedot ovat näkyvissä, siitä tulee paljon helpompaa. rakentaa sosiaalisen manipuloinnin kampanjoita ja kohdennettuja huijauksia, jotka hyödyntävät kunkin uhrin kontekstuaalisia tietoja.

Tutkijat tunnistivat myös miljoonia aktiivisia tilejä alueilla, joilla WhatsApp on kielletty, kuten Kiina, Iran tai MyanmarNäiden numeroiden näkyvyydellä voi olla henkilökohtaisia ​​tai oikeudellisia seurauksia käyttäjille tehokkaan valvonnan tilanteissa.

Laaja valikoima kelvollisia puhelimia parantaa roskaposti, doksaus ja tietojenkalastelu suuremmalla tarkkuudella, erityisesti silloin, kun profiilikuva tai julkinen teksti antaa vihjeitä henkilöllisyydestä, työllisyydestä tai linkitetyistä sosiaalisista verkostoista.

On syytä muistaa, että kun tiedot on kerran lisätty valtaviin tietokantoihin, ne voivat kiertää vuosia ja yhdistyä muihin vuotoihin. rikastuttaa profiileja ja lisäävät hyökkäysten tehokkuutta.

Eurooppa ja Espanja: miksi sillä on merkitystä täällä

Espanjassa ja muualla EU:ssa, jossa WhatsApp on kaikkialla läsnä, tiedon paljastuminen tässä mittakaavassa huolissaan sen mahdollisista vaikutuksista miljoonia käyttäjiä ja yrityksiäVaikka Meta korjasi luettelointimenetelmän, tapaus avaa uudelleen keskustelun puhelinnumeroon perustuvasta suunnittelusta.

Eurooppalaisen yliopistotiimin tapaus muistuttaa siitä, että jopa käteviä ominaisuuksia, kuten yhteystietojen välitöntä löytämistä, on suunniteltu... Niistä voi tulla riskin lähteitä, jos niillä ei ole vankkaa ja jatkuvasti varmennettua puolustusta..

Se korostaa myös yksityisyysasetusten huolellisen määrittämisen tarvetta. Jos profiilikuva tai julkinen teksti paljastaa enemmän tietoa kuin on tarpeen, sen laajalle levinnyt paljastuminen on ongelmallista. uhkakerroin yksityis- ja ammattikäyttäjille.

Eurooppalaisille organisaatioille ja hallinnoille, joilla on turvallisuusvelvoitteita, Tietojen näkyvyyden rajoittaminen ja sisäisten varmennusmenettelyjen vahvistaminen sovelluksen ulkopuolella auttaa pienentää hyökkäyspinta-alaa henkilöllisyyden anastamisesta tai petoskampanjoista.

Mitä voit tehdä juuri nyt

Vaihtoehtoisen tunnisteen puuttuessa Paras suoja käyttäjälle on säädä asetuksia profiilin yksityisyys ja omaksua harkittuja viestintätapoja.

• Rajoita profiilikuva ja -tiedot joko "Omat yhteystiedot"- tai "Ei kukaan"-kohtaan.
• Vältä arkaluonteisten tietojen tai henkilökohtaisten linkkien sisällyttämistä statustekstiisi..
• Varo odottamattomia viestejä, vaikka niissä näkyisikin nimesi tai kuvasi..
• Tarkista mahdolliset kiireelliset tai maksupyynnöt toissijaisen kanavan kautta.

Vaikka joukkolaskentaa varten tarkoitettu erityinen kanava on suljettu, tässä jaksossa todisteita siitä, että julkisten tunnisteiden ja pienten valvontavirheiden yhdistelmä voi johtaa valtaviin riskeihinTililläsi olevien tietojen minimoiminen rajoittaa tulevien tiedonkeruutekniikoiden vaikutusta.

Itävaltalainen tutkimus osoitti, että Yhteistä funktiota voitaisiin hyödyntää teollisessa mittakaavassa miljardien numeroiden validoimiseksi ja näkyvien profiilien liittämiseksi niihin.Meta on tiukentanut rajoja ja väittää, ettei hyväksikäytöstä ole näyttöä, mutta sosiaalisen manipuloinnin riskitHavainnot maissa, joissa on käytössä kieltoja ja datan säilyvyys, korostavat tarvetta tarkastella puhelinnumeroon perustuvaa suunnittelua ja kannustaa eurooppalaisia ​​käyttäjiä tiukempiin yksityisyydensuojakäytäntöihin.