WhatsApp: Кемчилик 3.500 миллиард номерди жана профилдик маалыматтарды чыгарууга мүмкүндүк берди.

Академиялык иликтөө көңүл бурган байланыштарды табуу системасындагы коопсуздук кемчилиги WhatsApp, ал кеңири масштабда пайдаланылганда, Бул телефон номерлерин текшерүүгө жана алар менен профилдик маалыматтарды массалык түрдө бириктирүүгө мүмкүндүк берди.Табыштама күнүмдүк колдонмо процесси, эгер өнөр жай темпинде кайталанса, маалыматтын таасиринин булагы болуп калышы мүмкүн экенин сүрөттөйт.

Вена университетинин командасы жетектеген изилдөө, эсептердин бар экенин текшерүү мүмкүн экенин көрсөттү. миллиарддаган сандар комбинациялары желе версиясы аркылуу, ай бою эффективдүү блоктору жок. Авторлордун айтымында, эгерде ал процесс жоопкерчилик менен жүргүзүлбөгөндө, биз сөз кылмакпыз документтештирилген эң чоң маалымат экспозицияларынын бири.

ажырым кантип ишке ашты: массалык эсеп

Маселе шифрлөөнү бузууда эмес, концептуалдык алсыздыкта болгон: the байланыш издөө куралы кызматтын. WhatsApp колдонуучуларга телефон номеринин катталганын текшерүүгө мүмкүндүк берет; бул текшерүүнү автоматтык түрдө жана кеңири масштабда кайталоо глобалдык көз салууга жол ачты.

Австриялык изилдөөчүлөр веб-интерфейстин жардамы менен сандарды тынымсыз сынап көрүшкөн саатына болжол менен 100 миллион текшерүү талданган мезгилде эч кандай эффективдүү ылдамдык чектөөлөрү жок. Бул көлөм болуп көрбөгөндөй казып алууну мүмкүн кылды.

Эксперименттин натыйжасы айкын болду: алар ала алышты телефон номерлери 3.500 миллиард аккаунттан WhatsApp. Кошумчалай кетсек, алар ошол үлгүнүн олуттуу бөлүгү үчүн жалпыга жеткиликтүү профилдик маалыматтарды байланыштыра алышкан.

Тактап айтканда, команда деп белгиледи Профиль сүрөттөрү 57% учурда, ал эми коомдук статустун тексттери же кошумча маалымат 29% жеткиликтүү болгон.Бул талаалар ар бир колдонуучунун конфигурациясынан көз каранды болсо да, масштабда алардын таасири тобокелдикти күчөтөт.

• 3.500 миллиард номер WhatsAppта катталганы тастыкталды.
• 57% жалпыга жеткиликтүү профиль сүрөтү менен.
• 29% издөө профили тексти менен.

Өз убагында көңүл бурулбаган алдын ала эскертүүлөр

Санактын алсыздыгы таптакыр жаңы эмес болчу: буга чейин 2017-жылы, голландиялык изилдөөчү Лоран Клоезе Ал сандарды текшерүүнү автоматташтыруу жана аларды көрүнгөн маалыматтар менен байланыштыруу мүмкүн экенин эскертти.Ошол эскертүү азыркы кырдаалды алдын ала билдирген.

Венанын акыркы иши бул идеяны чектен чыкты жана экенин көрсөттү телефон номерине көз каранды уникалдуу идентификатор катары көйгөйлүү бойдон калуудаАвторлор белгилегендей, сандар Алар жашыруун ишеним кат катары иш-аракет кылууга арналган эмесБирок иш жүзүндө алар көптөгөн кызматтарда ошол ролду аткарышат.

Изилдөөнүн дагы бир тиешелүү тыянагы жеке маалыматтын көбү убакыттын өтүшү менен өз баасын сактап калат: Команда 2021-жылы Фейсбукта ачыкка чыккан телефондордун 58%ы ачыкка чыкканын аныкташкан Алар бүгүн да WhatsAppта активдүү., бул байланыштарды жана туруктуу кампанияларды жеңилдетет.

Сандардан тышкары, Массалык суроо процесси белгилүү бир техникалык метаберилиштерди чыгарууга мүмкүндүк бердисыяктуу кардар же операциялык системанын түрү кызматкер жана профилдештирүү үчүн үстүнкү аянтын кошкон рабочий версиялардын болушу.

Метанын жообу: ылдамдыкты чектөө жана расмий позиция

изилдөөчүлөр Алар апрель айында табылганы Метага билдиришип, аны текшергенден кийин түзүлгөн маалымат базасын жок кылышкан.Компания өз кезегинде аны октябрь айында ишке ашырган ченди чектөө чараларын күчөтүү желе аркылуу масштабдуу эсепке бөгөт коюу.

Адистештирилген маалымат каражаттарына жөнөтүлгөн билдирүүлөрүндө Мета өзүнүн программасы аркылуу билдирүү үчүн ыраазычылык билдирди ийгиликсиз сыйлыктар Ал көрсөтүлгөн маалымат ар бир колдонуучу көрүнүп тургандай конфигурацияланган нерсе экенин баса белгиледи. Ал ошондой эле бул ыкманы кыянаттык менен пайдалануу боюнча эч кандай далил таппаганын билдирди.

Компания муну талап кылды билдирүүлөр корголгон аягына чейин шифрлөө жана эч кандай жалпыга ачык эмес маалыматтарга кирүү болбогондугуна байланыштуу. Криптографиялык системанын бузулганы тууралуу эч кандай белги болгон эмес.

Бир нече техникалык жолугушуулардан кийин WhatsApp изилдөөнү сыйлады 17.500 долларыКоманда үчүн процесс эскертүүдөн кийин орнотулган жаңы коргонуунун натыйжалуулугун өлчөө жана сыноо үчүн кызмат кылган.

Чыныгы тобокелдиктер: алдамчылыктан баштап тыюу салынган өлкөлөрдө бутага алууга чейин

Техникалык аспектилерден тышкары, бул экспозициянын негизги таасири практикалык. Телефон номери жана профиль маалыматы көрүнсө, бул бир топ жеңилдейт. коомдук инженердик кампанияларды куруу жана ар бир жабырлануучунун контексттик маалыматын пайдаланган максаттуу шылуундар.

Изилдөөчүлөр ошондой эле WhatsApp тыюу салынган аймактарда миллиондогон активдүү аккаунттарды аныкташкан, мисалы Кытай, Иран же МьянмаБул сандардын көрүнүүсү жогорку көзөмөл контекстинде колдонуучулар үчүн жеке же юридикалык кесепеттерге алып келиши мүмкүн.

Жарактуу телефондордун массалык болушу телефондорду жакшыртат спам, доксинг жана фишинг Айрыкча профилдик сүрөт же жалпыга ачык текст инсандык, жумушка орношуу же байланышкан социалдык тармактар ​​жөнүндө маалымат бергенде, жогорку тактык менен.

Чоң маалымат базаларына кошулгандан кийин, маалымат башка агып кетүүлөр менен айкалышып, бир нече жылдар бою айланып турушу мүмкүн экенин эстен чыгарбоо керек. профилдерди байытуу жана чабуулдардын натыйжалуулугун жогорулатуу.

Европа жана Испания: эмне үчүн бул жерде маанилүү

Испанияда жана Евробиримдиктин калган өлкөлөрүндө WhatsApp бардык жерде жайгашкан, бул масштабдагы маалыматтын ачыкка чыгышы анын мүмкүн болуучу таасири жөнүндө тынчсыздануу миллиондогон колдонуучулар жана ишканаларМета санап чыгуу ыкмасын оңдогонуна карабастан, окуя телефон номерине таянган дизайн жөнүндө талашты кайра ачат.

Европа университетинин командасын камтыган бул иш, ал тургай ыңгайлуулук үчүн иштелип чыккан функциялар, мисалы, байланыштарды заматта табуу — эскертет. Эгерде аларда бекем жана үзгүлтүксүз текшерилген коргонуу каражаттары жок болсо, алар тобокелдиктин векторлору болуп калышы мүмкүн.

Ошондой эле купуялык жөндөөлөрүн кылдат конфигурациялоо зарылдыгын баса белгилейт. Профиль сүрөтү же жалпыга ачык текст керектүүдөн көбүрөөк маалыматты ачып берсе, анын кеңири таралган экспозициясы а болуп калат коркунуч мультипликатору жеке жана кесиптик колдонуучулар үчүн.

Коопсуздук боюнча милдеттенмелери бар европалык уюмдар жана администрациялар үчүн, Дайындардын көрүнүүсүн чектөө жана колдонмодон тышкары ички текшерүү процедураларын күчөтүү жардам берет кол салуу бетин азайтуу жасалмалоо же алдамчылык кампаниялары.

Сиз азыр эмне кыла аласыз?

Альтернативдүү идентификатор жок болгон учурда, колдонуучу үчүн мыкты коргонуу камтыйт параметрлерди тууралоо профилдин купуялыгы жана этияттык менен кабарлашуу адаттарды кабыл алуу.

• Профиль сүрөтүн жана маалыматты "Менин байланыштарым" же "Эч ким" деп чектөө.
• Статус текстиңизге купуя маалыматтарды же жеке шилтемелерди кошуудан качыңыз..
• Күтүлбөгөн билдирүүлөрдөн сак болуңуз, атыңызды же сүрөтүңүздү көрсөтсө дагы.
• Шашылыш же төлөм сурамдарын экинчи канал аркылуу текшериңиз.

Массалык эсепке алуу үчүн атайын проспекти жабылганына карабастан, бул эпизод коомдук идентификаторлордун айкалышы жана контролдоодогу кичинекей көзөмөл чоң таасирлерге алып келиши мүмкүн экендигинин далилдериБашкалар сиздин аккаунтуңуздан көрө ала турган нерселерди минималдуу деңгээлде сактоо келечектеги оруп-жыюу техникасынын таасирин чектейт.

Муну австриялык изилдөөлөр көрсөттү Миллиарддаган сандарды текшерүү жана алар менен көрүнгөн профилдерди байланыштыруу үчүн жалпы функцияны өнөр жайлык масштабда колдонсо болот.Мета чектөөлөрдү күчөттү жана кыянаттык үчүн эч кандай далил жок деп ырастады, бирок коомдук инженердик тобокелдиктерТыюу салынган жана маалымат сакталган өлкөлөрдө табылган жыйынтыктар телефон номерлерине негизделген дизайнды кайра карап чыгуу жана европалык колдонуучулардын купуялуулуктун катаал адаттарын кубаттоо зарылдыгын баса белгилейт.