WhatsApp: Egy hiba lehetővé tette 3.500 milliárd szám és profiladat kinyerését.

Egy tudományos vizsgálat rávilágított arra, biztonsági hiba a kapcsolatfelderítő rendszerben WhatsApp, amelyet nagymértékű kihasználás esetén Lehetővé tette a telefonszámok ellenőrzését és a profiladatok tömeges hozzájuk társítását.A megállapítás leírja, hogyan válhat egy rutinszerű alkalmazásfolyamat – ha ipari tempóban ismétlődik – információkitettség forrásává.

A Bécsi Egyetem csapata által vezetett tanulmány kimutatta, hogy lehetséges ellenőrizni a számlák létezését a következőhöz: milliárdnyi számkombináció a webes verzión keresztül, hónapokig tartó hatékony blokkolások nélkül. A szerzők szerint, ha ezt a folyamatot nem felelősségteljesen végezték volna, akkor most a következőről beszélnénk: az egyik legnagyobb valaha dokumentált adatszivárgás.

Hogyan keletkezett a rés: tömeges összeírás

A probléma nem a titkosítás feltörésével volt, hanem egy fogalmi gyengeséggel: a kapcsolatfelvételi kereső eszköz a szolgáltatásból. A WhatsApp lehetővé teszi a felhasználók számára annak ellenőrzését, hogy egy telefonszám regisztrálva van-e; ennek az ellenőrzésnek az automatikus és nagymértékű megismétlése megnyitotta az utat a globális követés előtt.

Osztrák kutatók a webes felületet használták a számok folyamatos teszteléséhez, elérve a körülbelül 100 millió ellenőrzés óránként a vizsgált időszakban semmilyen tényleges sebességkorlátozás nélkül. Ez a mennyiség példátlan kitermelést tett lehetővé.

A kísérlet eredménye meggyőző volt: sikerült megszerezniük a telefonszámok 3.500 milliárd fiókból a WhatsApp-tól. Ezenkívül a minta jelentős részéhez nyilvánosan elérhető profiladatokat tudtak társítani.

Konkrétan a csapat megjegyezte, hogy Profilképekhez az esetek 57%-ában, nyilvános állapotüzenetekhez vagy további információkhoz pedig 29%-ában fértek hozzá.Bár ezek a mezők az egyes felhasználók konfigurációjától függenek, a nagy léptékű kitettségük felerősíti a kockázatot.

• 3.500 milliárd regisztrált számot igazoltak a WhatsAppon.
• 57%-uk rendelkezik nyilvánosan hozzáférhető profilképpel.
• 29% kereshető profilszöveggel.

Korábbi figyelmeztetések, amelyekre nem figyeltek időben

A felsorolás gyengesége nem volt teljesen új: már 2017-ben, a holland kutató Loran Klöze Figyelmeztetett, hogy lehetséges a számok ellenőrzésének automatizálása és látható adatokhoz társítása.Ez a figyelmeztetés előrevetítette a jelenlegi helyzetet.

Bécs legújabb munkája a szélsőségekig vitte ezt az elképzelést, és megmutatta, hogy a telefonszámtól való függőség egyedi azonosítóként továbbra is problémásAhogy a szerzők rámutatnak, a számok Nem titkos hitelesítő adatokként szolgálnak.De a gyakorlatban ezt a szerepet számos szolgáltatásban betöltik.

A tanulmány egy másik releváns következtetése, hogy a személyes információk nagy része idővel megőrzi értékét: A csapat megállapította, hogy a 2021-es Facebook-szivárogtatás során leleplezett telefonok 58%-a A mai napig aktívak a WhatsAppon., ami megkönnyíti a korrelációkat és a kitartó kampányokat.

A számokon kívül, A tömeges lekérdezési folyamat lehetővé tette bizonyos technikai metaadatok kikövetkeztetését, mint a kliens vagy operációs rendszer típusa alkalmazott és az asztali verziók megléte, ami növeli a profilalkotás felületét.

A Meta válasza: sebességkorlátozások és hivatalos álláspont

A kutatók Áprilisban jelentették a megállapítást a Metának, és a létrehozott adatbázist validálás után törölték.A cég a maga részéről októberben vezette be. szigorúbb árkorlátozó intézkedések a weben keresztüli nagyszabású összeírás blokkolása.

A Meta a szakosított médiumoknak küldött nyilatkozataiban kifejezte háláját a programján keresztüli értesítésért. kudarc jutalmak Hangsúlyozta, hogy a megjelenített információk azok voltak, amelyeket az egyes felhasználók láthatóként konfiguráltak. Azt is kijelentette, hogy nem talált bizonyítékot a módszer rosszindulatú visszaélésére.

A cég ragaszkodott ahhoz, hogy a az üzenetek védettek maradtak a végponttól végpontig terjedő titkosítás és az a tény miatt, hogy nem nyilvános adatokhoz fértek hozzá. Semmi sem utalt arra, hogy a kriptográfiai rendszert feltörték volna.

Több technikai megbeszélés után a WhatsApp a kutatást a következővel jutalmazta: 17.500 dollárA csapat számára a folyamat az értesítés után bevezetett új védelmi intézkedések hatékonyságának mérésére és tesztelésére szolgált.

Valódi kockázatok: a csalástól a tiltott országokban történő célzásig

A technikai szempontokon túl ennek a nyilvánosságnak a fő hatása gyakorlati. A telefonszám és a profiladatok láthatóvá válásával sokkal könnyebbé válik a dolog. pszichológiai manipulációs kampányokat építs és célzott csalások, amelyek kihasználják az egyes áldozatok kontextuális információit.

A kutatók több millió aktív fiókot azonosítottak olyan területeken is, ahol a WhatsApp be van tiltva, például Kína, Irán vagy MianmarEzen számok láthatósága személyes vagy jogi következményekkel járhat a felhasználók számára fokozott megfigyelés alatt álló környezetben.

Az érvényes telefonok tömeges elérhetősége fokozza a spam, doxolás és adathalászat nagyobb pontossággal, különösen akkor, ha a profilkép vagy a nyilvános szöveg utalásokat tartalmaz a személyazonosságra, a foglalkoztatásra vagy a kapcsolódó közösségi hálózatokra vonatkozóan.

Érdemes megjegyezni, hogy miután hatalmas adatbázisokba kerültek, az információk évekig keringhetnek, és más szivárgásokkal kombinálódhatnak. gazdagítsa a profilokat és növeljék a támadások hatékonyságát.

Európa és Spanyolország: miért fontos ez itt?

Spanyolországban és az EU többi részén, ahol a WhatsApp mindenütt jelen van, az ilyen mértékű információ-kitettség aggódik a lehetséges hatása miatt több millió felhasználó és vállalkozásBár a Meta korrigálta a felsorolási módszert, az incidens újra megnyitja a vitát a telefonszámra támaszkodó dizájnról.

Az eset, amelyben egy európai egyetemi csapat vett részt, emlékeztetőül szolgál arra, hogy még a kényelemre tervezett funkciók – mint például a névjegyek azonnali keresése – is... Kockázathordozókká válhatnak, ha nincsenek szilárd és folyamatosan ellenőrzött védelmi mechanizmusaik..

Ez rávilágít az adatvédelmi beállítások gondos konfigurálásának szükségességére is. Ha a profilkép vagy a nyilvános szöveg a szükségesnél több információt fed fel, annak széles körű nyilvánosságra hozatala komoly problémát jelent. fenyegetésszorzó magán- és professzionális felhasználók számára.

Biztonsági kötelezettségekkel rendelkező európai szervezetek és közigazgatások számára, Az adatok láthatóságának korlátozása és az alkalmazáson kívüli belső ellenőrzési eljárások megerősítése segít csökkentse a támadási felületet személyazonosság-ellenőrzés vagy csalási kampányok.

Amit most azonnal tehetsz

Alternatív azonosító hiányában, A felhasználó legjobb védelme a következőket foglalja magában: állítsa be az opciókat profil adatvédelme és körültekintő üzenetküldési szokásokat alkalmazzon.

• Profilkép és -információk korlátozása a „Saját kapcsolatok” vagy a „Senki” lehetőségre.
• Kerüld a bizalmas adatok vagy személyes linkek megadását az állapotüzenetekben..
• Légy óvatos a váratlan üzenetekkel, még akkor is, ha a neved vagy a fotód szerepel bennük.
• Ellenőrizd a sürgős vagy fizetési kérelmeket egy másodlagos csatornán keresztül.

Bár a tömeges összeírás konkrét útját lezárták, ez az epizód bizonyítékok arra, hogy a nyilvános azonosítók és az ellenőrzések apróbb felügyelete hatalmas kockázatokhoz vezethetHa minimálisra csökkented a fiókod mások által látható tartalmát, azzal korlátozhatod a jövőbeli adatgyűjtési technikák hatását.

Osztrák kutatások kimutatták, hogy Egy közös függvény ipari méretekben kihasználható lenne több milliárd szám validálására és látható profilok hozzájuk társítására.A Meta szigorított a korlátokon, és fenntartja, hogy nincs bizonyíték a visszaélésre, de a társadalmi manipulációs kockázatokAzokban az országokban, ahol tiltások és adatmegőrzés van érvényben, az eredmények rávilágítanak arra, hogy felül kell vizsgálni a telefonszám-alapú tervezést, és ösztönözni kell a szigorúbb adatvédelmi szokásokat az európai felhasználók körében.