- I ricercatori di Vienna hanno dimostrato l'enumerazione di massa dei numeri su WhatsApp su scala globale.
- Sono stati ottenuti 3.500 miliardi di numeri, foto del profilo nel 57% e testi pubblici nel 29%.
- Meta ha introdotto limiti di velocità a ottobre e sostiene che la crittografia dei messaggi non è stata influenzata.
- Il rischio comprende truffe mirate ed esposizione in Paesi in cui WhatsApp è vietato.
Un'indagine accademica ha messo in luce falla di sicurezza nel sistema di scoperta dei contatti WhatsApp, che, se sfruttato su larga scala, Permetteva la verifica dei numeri di telefono e l'associazione in massa dei dati del profilo con essi.La scoperta descrive come un processo di routine di un'app possa trasformarsi, se ripetuto a ritmo industriale, in una fonte di esposizione alle informazioni.
Lo studio, condotto da un team dell'Università di Vienna, ha dimostrato che è possibile verificare l'esistenza di account per miliardi di combinazioni di numeri attraverso la versione web, senza blocchi efficaci per mesi. Secondo gli autori, se quel processo non fosse stato condotto in modo responsabile, staremmo parlando di una delle più grandi esposizioni di dati mai documentate.
Come si è materializzato il divario: enumerazione di massa
Il problema non era la rottura della crittografia, ma una debolezza concettuale: la strumento di ricerca dei contatti del servizio. WhatsApp consente agli utenti di verificare se un numero di telefono è registrato; ripetere questo controllo automaticamente e su larga scala ha aperto le porte al tracciamento globale.
I ricercatori austriaci hanno utilizzato l'interfaccia web per testare continuamente i numeri, raggiungendo una velocità approssimativa di 100 milioni di controlli all'ora senza alcun limite di velocità effettivo durante il periodo analizzato. Tale volume ha reso possibile un'estrazione senza precedenti.
Il risultato dell'esperimento è stato conclusivo: sono riusciti ad ottenere il numeri di telefono da 3.500 miliardi di account da WhatsApp. Inoltre, sono stati in grado di associare dati di profilo pubblicamente disponibili per una parte significativa di quel campione.
Nello specifico, il team ha osservato che Nel 57% dei casi è stata consultata l'immagine del profilo, mentre nel 29% dei casi sono stati consultati testi di stato pubblici o informazioni aggiuntive.Sebbene questi campi dipendano dalla configurazione di ciascun utente, la loro esposizione su larga scala amplifica il rischio.
- 3.500 miliardi di numeri verificati come registrati su WhatsApp.
- Il 57% con un'immagine del profilo accessibile al pubblico.
- 29% con testo del profilo ricercabile.
Avvisi precedenti che non sono stati ascoltati in tempo
La debolezza dell'enumerazione non era del tutto nuova: già nel 2017, il ricercatore olandese Loran Kloeze Ha avvertito che è possibile automatizzare il controllo dei numeri e associarli a dati visibili.Quell'avvertimento prefigurava la situazione attuale.
Il recente lavoro di Vienna ha portato questa idea all'estremo e ha dimostrato che dipendenza dal numero di telefono poiché un identificatore univoco rimane problematicoCome sottolineano gli autori, i numeri Non sono progettati per fungere da credenziali segreteMa nella pratica svolgono questo ruolo in molti servizi.
Un'altra conclusione rilevante dello studio è che gran parte delle informazioni personali conservano il loro valore nel tempo: Il team ha scoperto che il 58% dei telefoni esposti alla fuga di notizie di Facebook del 2021 Sono ancora attivi su WhatsApp oggi., che facilita le correlazioni e le campagne persistenti.
Oltre ai numeri, Il processo di query di massa ha consentito di dedurre alcuni metadati tecnici, come il tipo di client o sistema operativo dipendente e la presenza di versioni desktop, che aggiungono superficie per la profilazione.
La risposta di Meta: limiti di velocità e posizione ufficiale
ricercatori Hanno segnalato la scoperta a Meta ad aprile e hanno eliminato il database generato dopo averlo convalidato.L'azienda, da parte sua, lo ha implementato in ottobre misure più severe di limitazione della velocità per bloccare l'enumerazione su larga scala tramite il web.
In dichiarazioni inviate ai media specializzati, Meta ha espresso gratitudine per la notifica tramite il suo programma di ricompense per il fallimento Ha sottolineato che le informazioni visualizzate corrispondevano a quelle che ciascun utente aveva configurato come visibili. Ha inoltre affermato di non aver trovato prove di un abuso dannoso di questo metodo.
La società ha insistito sul fatto che il i messaggi sono rimasti protetti Grazie alla crittografia end-to-end e al fatto che non è stato effettuato alcun accesso a dati non pubblici, non vi è stata alcuna indicazione che il sistema crittografico fosse stato violato.
Dopo diversi incontri tecnici, WhatsApp ha premiato la ricerca con $17.500Per il team, il processo è servito a misurare e testare l'efficacia delle nuove difese implementate dopo la notifica.
Rischi reali: dalle frodi alle azioni mirate nei paesi con divieti
Al di là degli aspetti tecnici, l'impatto principale di questa visibilità è pratico. Con un numero di telefono e le informazioni del profilo visibili, diventa tutto molto più semplice. creare campagne di ingegneria sociale e truffe mirate che sfruttano le informazioni contestuali di ogni vittima.
I ricercatori hanno anche identificato milioni di account attivi in territori in cui WhatsApp è vietato, come Cina, Iran o MyanmarLa visibilità di questi numeri potrebbe avere conseguenze personali o legali per gli utenti in contesti ad alta sorveglianza.
La massiccia disponibilità di telefoni validi migliora la spam, doxxing e phishing con un livello di accuratezza più elevato, soprattutto quando l'immagine del profilo o il testo pubblico forniscono indizi sull'identità, sull'impiego o sui social network collegati.
Vale la pena ricordare che, una volta aggiunte a enormi database, le informazioni possono circolare per anni, combinandosi con altre fughe di notizie per arricchire i profili e aumentare l'efficacia degli attacchi.
Europa e Spagna: perché è importante qui
In Spagna e nel resto dell’UE, dove WhatsApp è onnipresente, l’esposizione di informazioni su questa scala preoccupato per il suo potenziale impatto su milioni di utenti e aziendeSebbene Meta abbia corretto il metodo di enumerazione, l'incidente riapre il dibattito su un progetto che si basa sul numero di telefono.
Il caso, che coinvolge un team universitario europeo, serve a ricordare che anche le funzionalità progettate per la comodità, come la ricerca istantanea dei contatti, Possono diventare vettori di rischio se non hanno difese solide e continuamente verificate.
Sottolinea inoltre la necessità di configurare attentamente le impostazioni sulla privacy. Se l'immagine del profilo o il testo pubblico rivelano più informazioni del necessario, la loro ampia esposizione diventa un moltiplicatore di minaccia per utenti privati e professionali.
Per le organizzazioni e le amministrazioni europee con obblighi di sicurezza, Limitare la visibilità dei dati e rafforzare le procedure di verifica interna al di fuori dell'app aiuta a ridurre la superficie di attacco di campagne di impersonificazione o frode.
Cosa puoi fare adesso
In assenza di un identificatore alternativo, La migliore difesa per l'utente consiste regolare le opzioni privacy del profilo e adottare abitudini di messaggistica prudenti.
- Limita l'immagine del profilo e le informazioni a "I miei contatti" o "Nessuno".
- Evita di includere dati sensibili o link personali nel testo del tuo stato..
- Fai attenzione ai messaggi inaspettati, anche se mostrano il tuo nome o la tua foto.
- Verificare eventuali richieste urgenti o di pagamento tramite un canale secondario.
Sebbene la via specifica per l'enumerazione di massa sia stata chiusa, questo episodio prove che la combinazione di identificatori pubblici e piccole sviste nei controlli può portare a enormi esposizioniLimitare al minimo ciò che gli altri possono vedere del tuo account limita l'impatto delle future tecniche di raccolta.
La ricerca austriaca ha dimostrato che Una funzione comune potrebbe essere sfruttata su scala industriale per convalidare miliardi di numeri e associarvi profili visibili.Meta ha inasprito i limiti e sostiene che non ci sono prove di abusi, ma il rischi di ingegneria socialeI risultati ottenuti nei paesi in cui vigono divieti e persistenza dei dati evidenziano la necessità di rivedere la progettazione basata sui numeri di telefono e di incoraggiare abitudini di privacy più rigorose tra gli utenti europei.
Sono un appassionato di tecnologia che ha trasformato i suoi interessi "geek" in una professione. Ho trascorso più di 10 anni della mia vita utilizzando tecnologie all'avanguardia e armeggiando con tutti i tipi di programmi per pura curiosità. Ora mi sono specializzato in informatica e videogiochi. Questo perché da più di 5 anni scrivo per vari siti web di tecnologia e videogiochi, creando articoli che cercano di darti le informazioni di cui hai bisogno in un linguaggio comprensibile a tutti.
In caso di domande, le mie conoscenze spaziano da tutto ciò che riguarda il sistema operativo Windows e Android per telefoni cellulari. E il mio impegno è nei tuoi confronti, sono sempre disposto a dedicare qualche minuto e aiutarti a risolvere qualsiasi domanda tu possa avere in questo mondo di Internet.