וואטסאפ: תקלה אפשרה חילוץ של 3.500 מיליארד מספרים ונתוני פרופיל.

חקירה אקדמית שמה זרקור על פרצת אבטחה במערכת גילוי אנשי קשר וואטסאפ, אשר, כאשר היא מנוצלת בקנה מידה גדול, זה אפשר אימות של מספרי טלפון ושיוך המוני של נתוני פרופיל אליהם.הממצא מתאר כיצד תהליך שגרתי של אפליקציה יכול להפוך, אם יחזור על עצמו בקצב תעשייתי, למקור לחשיפת מידע.

המחקר, בראשות צוות מאוניברסיטת וינה, הראה כי ניתן היה לבדוק את קיומם של חשבונות עבור מיליארדי צירופי מספרים דרך גרסת האינטרנט, ללא חסימות יעילות במשך חודשים. לדברי המחברים, אם תהליך זה לא היה מתבצע באחריות, היינו מדברים על אחת מחשיפות הנתונים הגדולות ביותר שתועדו אי פעם.

כיצד התממש הפער: ספירה המונית

הבעיה לא הייתה בשבירת ההצפנה, אלא בחולשה מושגית: ה- כלי חיפוש אנשי קשר של השירות. וואטסאפ מאפשרת למשתמשים לבדוק אם מספר טלפון רשום; חזרה על בדיקה זו באופן אוטומטי ובקנה מידה גדול פתחה את הדלת למעקב גלובלי.

החוקרים האוסטרים השתמשו בממשק האינטרנט כדי לבדוק מספרים באופן רציף, והגיעו קצב משוער של 100 מיליון צ'קים לשעה ללא הגבלות מהירות אפקטיביות במהלך התקופה הנבדקת. נפח זה אפשר חילוץ חסר תקדים.

תוצאת הניסוי הייתה חד משמעית: הם הצליחו להשיג את מספרי טלפון מ-3.500 מיליארד חשבונות של WhatsApp. בנוסף, הם הצליחו לקשר נתוני פרופיל זמינים לציבור עבור חלק משמעותי מהמדגם הזה.

באופן ספציפי, ציין הצוות כי תמונות פרופיל נצפו ב-57% מהמקרים, והודעות סטטוס פומביות או מידע נוסף ב-29%.למרות ששדות אלה תלויים בתצורה של כל משתמש, החשיפה שלהם בקנה מידה גדול מגבירה את הסיכון.

• 3.500 מיליארד מספרים אומתו כרשומים בוואטסאפ.
• 57% עם תמונת פרופיל נגישה לציבור.
• 29% עם טקסט פרופיל הניתן לחיפוש.

אזהרות קודמות שלא נענו בזמן

חולשת הספירה לא הייתה חדשה לחלוטין: כבר בשנת 2017, החוקר ההולנדי לורן קלוז הוא הזהיר כי ניתן להפוך את בדיקת המספרים לאוטומטית ולקשר אותם לנתונים גלויים.אזהרה זו בישרה על המצב הנוכחי.

עבודתה האחרונה של וינה לקחה את הרעיון הזה לקיצוניות ו הראה ש תלות במספר הטלפון כזיהוי ייחודי נותר בעייתיכפי שמציינים המחברים, המספרים הם לא נועדו לשמש כאישורים סודייםאבל בפועל הם ממלאים את התפקיד הזה בשירותים רבים.

מסקנה רלוונטית נוספת של המחקר היא שחלק ניכר מהמידע האישי שומר על ערכו לאורך זמן: הצוות מצא ש-58% מהטלפונים שנחשפו בדליפת פייסבוק בשנת 2021 הם עדיין פעילים בוואטסאפ היום., אשר מקל על קורלציות וקמפיינים מתמשכים.

מלבד המספרים, תהליך השאילתה ההמונית איפשר להסיק מטא-נתונים טכניים מסוימיםכמו סוג הלקוח או מערכת ההפעלה עובד ונוכחות גרסאות שולחן עבודה, מה שמוסיף שטח פנים ליצירת פרופילים.

תגובת מטא: מגבלות מהירות ועמדה רשמית

החוקרים הם דיווחו על הממצא למטא באפריל ומחקו את מסד הנתונים שנוצר לאחר שאימותו.החברה, מצידה, יישמה אותו באוקטובר אמצעים מחמירים יותר להגבלת שיעורים כדי לחסום ספירה בקנה מידה גדול דרך האינטרנט.

בהצהרות שנשלחו לכלי תקשורת ייעודיים, הביעה מטה את תודתה על ההודעה באמצעות תוכניתה של תגמולי כישלון הוא הדגיש שהמידע המוצג הוא מה שכל משתמש הגדיר כגלוי. הוא גם הצהיר כי לא מצא ראיות לניצול לרעה זדוני של שיטה זו.

החברה התעקשה כי ה- ההודעות נותרו מוגנות עקב הצפנה מקצה לקצה והעובדה שלא ניגשה לנתונים שאינם ציבוריים. לא הייתה כל אינדיקציה לכך שמערכת הקריפטוגרפית נפרצה.

לאחר מספר פגישות טכניות, וואטסאפ גמלה את המחקר ב דולר ארה"ב 17.500עבור הצוות, התהליך שימש למדידה ובדיקה של יעילותן של ההגנות החדשות שנפרסו לאחר ההודעה.

סיכונים אמיתיים: מהונאה ועד מיקוד במדינות עם איסורים

מעבר להיבטים הטכניים, ההשפעה העיקרית של חשיפה זו היא פרקטית. עם מספר טלפון ופרטי פרופיל גלויים, זה הופך להיות הרבה יותר קל. בניית קמפיינים של הנדסה חברתית והונאות ממוקדות המנצלות את המידע ההקשרי של כל קורבן.

החוקרים זיהו גם מיליוני חשבונות פעילים באזורים שבהם וואטסאפ אסורה, כמו סין, איראן או מיאנמרלנראות של מספרים אלה עלולות להיות השלכות אישיות או משפטיות עבור משתמשים בהקשרים של מעקב גבוה.

הזמינות העצומה של טלפונים תקפים משפרת את ספאם, דוקסינג ופישינג עם רמת דיוק גבוהה יותר, במיוחד כאשר תמונת הפרופיל או הטקסט הציבורי מספקים רמזים לגבי זהות, תעסוקה או רשתות חברתיות מקושרות.

ראוי לזכור שמידע, לאחר שנוסף למאגרי מידע ענקיים, יכול להסתובב במשך שנים, ולהשתלב עם דליפות אחרות כדי העשרת פרופילים ולהגביר את יעילות ההתקפות.

אירופה וספרד: למה זה חשוב כאן

בספרד ובשאר האיחוד האירופי, שם וואטסאפ נמצאת בכל מקום, חשיפת מידע בקנה מידה כזה מודאג מהשפעתו הפוטנציאלית על מיליוני משתמשים ועסקיםלמרות שמטא תיקנה את שיטת הספירה, התקרית פותחת מחדש את הדיון על עיצוב שמסתמך על מספר הטלפון.

המקרה, בו מעורב צוות של אוניברסיטה אירופאית, משמש כתזכורת לכך שאפילו תכונות שנועדו לנוחות - כמו מציאת אנשי קשר באופן מיידי - הם עלולים להפוך לווקטורים של סיכון אם אין להם הגנות איתנות ומאומתות באופן רציף..

זה גם מדגיש את הצורך להגדיר בקפידה את הגדרות הפרטיות. אם תמונת הפרופיל או הטקסט הציבורי חושפים מידע רב יותר מהנדרש, החשיפה הנרחבת שלהם הופכת ל... מכפיל איום למשתמשים פרטיים ומקצועיים.

עבור ארגונים וממשלים אירופאים בעלי חובות ביטחוניות, הגבלת נראות הנתונים וחיזוק נהלי אימות פנימיים מחוץ לאפליקציה מסייעים ב- להקטין את משטח ההתקפה של קמפיינים של התחזות או הונאה.

מה שאתה יכול לעשות כרגע

בהיעדר מזהה חלופי, ההגנה הטובה ביותר עבור המשתמש כרוכה להתאים אפשרויות פרטיות הפרופיל ולאמץ הרגלי העברת מסרים זהירים.

• הגבל את תמונת הפרופיל והמידע ל"אנשי הקשר שלי" או "אף אחד".
• הימנעו מהכללת נתונים רגישים או קישורים אישיים בטקסט הסטטוס שלכם..
• היזהרו מהודעות בלתי צפויות, גם אם הן מציגות את שמכם או את תמונתכם.
• אימות כל בקשת תשלום דחופה דרך ערוץ משני.

למרות שהנתיב הספציפי לספירה המונית נסגר, פרק זה ראיות לכך שהשילוב של מזהים ציבוריים ופיקוחים קטנים בבקרות יכול להוביל לחשיפות עצומותצמצום הראייה של אחרים מחשבונך למינימום מגביל את ההשפעה של טכניקות קטיף עתידיות.

מחקר אוסטרי הראה כי ניתן לנצל פונקציה משותפת בקנה מידה תעשייתי כדי לאמת מיליארדי מספרים ולקשר אליהם פרופילים גלויים.מטא הידקה את המגבלות וטוענת כי אין ראיות להתעללות, אך ה- סיכוני הנדסה חברתיתהממצאים במדינות עם איסורים ושמירה על נתונים מדגישים את הצורך לבחון מחדש את העיצוב המבוסס על מספרי טלפון ולעודד הרגלי פרטיות מחמירים יותר בקרב משתמשים אירופאים.