- Vīnes pētnieki demonstrēja masveida numuru uzskaitīšanu lietotnē WhatsApp globālā mērogā.
- Tika iegūti 3.500 miljardi numuru, profila attēli — 57% un publiskas īsziņas — 29%.
- Meta ieviesa ātruma ierobežojumus oktobrī un apgalvo, ka ziņojumu šifrēšana netika ietekmēta.
- Risks ietver mērķtiecīgas krāpniecības un atmaskošanu valstīs, kurās WhatsApp ir aizliegts.
Akadēmiska izmeklēšana ir pievērsusi uzmanību drošības trūkums kontaktu atklāšanas sistēmā WhatsApp, kas, plaši izmantojot, Tas ļāva pārbaudīt tālruņu numurus un masveidā saistīt profila datus ar tiem.Atklājums apraksta, kā rutīnas lietotnes process, ja tas tiek atkārtots rūpnieciskā tempā, var kļūt par informācijas iedarbības avotu.
Vīnes Universitātes komandas vadītais pētījums parādīja, ka ir iespējams pārbaudīt kontu esamību miljardiem skaitļu kombināciju izmantojot tīmekļa versiju, bez efektīviem bloķējumiem mēnešiem ilgi. Pēc autoru domām, ja šis process nebūtu veikts atbildīgi, mēs runātu par viena no lielākajām jebkad dokumentētajām datu atklāsmēm.
Kā radās plaisa: masveida uzskaite
Problēma nebija šifrēšanas uzlaušanā, bet gan konceptuālā vājumā: kontaktu meklēšanas rīks pakalpojuma. WhatsApp ļauj lietotājiem pārbaudīt, vai tālruņa numurs ir reģistrēts; šīs pārbaudes automātiska un plašā atkārtošana ir pavērusi durvis globālai izsekošanai.
Austrijas pētnieki izmantoja tīmekļa saskarni, lai nepārtraukti pārbaudītu skaitļus, sasniedzot aptuvenais pārbaužu ātrums 100 miljoni stundā bez jebkādiem efektīviem ātruma ierobežojumiem analizētajā periodā. Šāds apjoms ļāva veikt vēl nebijušu ieguvi.
Eksperimenta rezultāts bija pārliecinošs: viņiem izdevās iegūt tālruņu numuri no 3.500 miljardiem kontu no WhatsApp. Turklāt viņi spēja saistīt publiski pieejamus profila datus ar ievērojamu daļu no šī parauga.
Konkrēti, komanda atzīmēja, ka Profila attēliem tika piekļūts 57% gadījumu, bet publiskā statusa tekstiem vai papildu informācijai — 29%.Lai gan šie lauki ir atkarīgi no katra lietotāja konfigurācijas, to iedarbība plašā mērogā pastiprina risku.
- 3.500 miljardi numuru ir pārbaudīti kā reģistrēti lietotnē WhatsApp.
- 57% ar publiski pieejamu profila attēlu.
- 29% ar meklējamu profila tekstu.
Iepriekšējie brīdinājumi, kas netika laikus ņemti vērā
Uzskaitīšanas vājums nebija pilnīgi jauns: jau 2017. gadā, holandiešu pētnieks Lorans Kloeze Viņš brīdināja, ka ir iespējams automatizēt skaitļu pārbaudi un saistīt tos ar redzamiem datiem.Šis brīdinājums paredzēja pašreizējo situāciju.
Vīnes nesenie darbi šo ideju attīstīja līdz galējībai un parādīja, ka atkarība no tālruņa numura kā unikāla identifikatora izmantošana joprojām ir problemātiska.Kā norāda autori, skaitļi Tie nav paredzēti kā slepenas akreditācijas datiBet praksē viņi pilda šo lomu daudzos pakalpojumos.
Vēl viens būtisks pētījuma secinājums ir tāds, ka liela daļa personiskās informācijas laika gaitā saglabā savu vērtību: Komanda atklāja, ka 58% no tālruņiem, kas tika atklāti 2021. gada Facebook noplūdē, Viņi joprojām ir aktīvi WhatsApp., kas atvieglo korelācijas un pastāvīgas kampaņas.
Papildus skaitļiem, Masveida vaicājumu process ļāva izsecināt noteiktus tehniskos metadatus, tāpat kā klienta vai operētājsistēmas tips darbinieks un galddatoru versiju klātbūtne, kas palielina virsmas laukumu profilēšanai.
Meta atbilde: ātruma ierobežojumi un oficiālā nostāja
Pētnieki Viņi aprīlī ziņoja par atklājumu Meta un pēc validācijas izdzēsa ģenerēto datubāzi.Uzņēmums savukārt to ieviesa oktobrī. stingrāki likmju ierobežošanas pasākumi lai bloķētu liela mēroga uzskaitīšanu, izmantojot tīmekli.
Paziņojumos, kas nosūtīti specializētiem plašsaziņas līdzekļiem, Meta pauda pateicību par paziņojumu, izmantojot savu programmu neveiksmes atlīdzības Viņš uzsvēra, ka parādītā informācija ir tā, ko katrs lietotājs bija konfigurējis kā redzamu. Viņš arī norādīja, ka nav atradis pierādījumus par šīs metodes ļaunprātīgu izmantošanu.
Uzņēmums uzstāja, ka ziņojumi palika aizsargāti pilnīgas šifrēšanas un tā dēļ, ka netika piekļūts nepubliskojamiem datiem. Nekas neliecināja, ka kriptogrāfiskā sistēma būtu uzlauzta.
Pēc vairākām tehniskām sanāksmēm WhatsApp atalgoja pētījumu ar ASV dolāra 17.500Komandai šis process kalpoja, lai novērtētu un pārbaudītu pēc paziņojuma ieviesto jauno aizsardzības pasākumu efektivitāti.
Reāli riski: no krāpšanas līdz mērķtiecīgai rīcībai valstīs ar aizliegumiem
Papildus tehniskajiem aspektiem šīs iedarbības galvenā ietekme ir praktiska. Kad tālruņa numurs un profila informācija ir redzama, tas kļūst daudz vienkāršāk. veidot sociālās inženierijas kampaņas un mērķtiecīgas krāpniecības, kas izmanto katra upura kontekstuālo informāciju.
Pētnieki arī identificēja miljoniem aktīvu kontu teritorijās, kur WhatsApp ir aizliegts, piemēram Ķīna, Irāna vai MjanmaŠo numuru redzamībai varētu būt personiskas vai juridiskas sekas lietotājiem augstas uzraudzības apstākļos.
Derīgu tālruņu masveida pieejamība uzlabo surogātpasts, doksēšana un pikšķerēšana ar augstāku precizitātes līmeni, īpaši, ja profila attēls vai publiskais teksts sniedz norādes par identitāti, nodarbinātību vai saistītajiem sociālajiem tīkliem.
Ir vērts atcerēties, ka, tiklīdz informācija ir iekļauta milzīgās datubāzēs, tā var cirkulēt gadiem ilgi, apvienojoties ar citām noplūdēm. bagātināt profilus un palielināt uzbrukumu efektivitāti.
Eiropa un Spānija: kāpēc tas šeit ir svarīgi
Spānijā un pārējā ES, kur WhatsApp ir visuresošs, informācijas atklāšana šādā mērogā pauž bažas par tā iespējamo ietekmi uz miljoniem lietotāju un uzņēmumuLai gan Meta laboja uzskaites metodi, šis incidents atsāk debates par dizainu, kas balstās uz tālruņa numuru.
Šis gadījums, kurā iesaistīta Eiropas universitātes komanda, kalpo kā atgādinājums, ka pat ērtības labad izstrādātas funkcijas, piemēram, kontaktu tūlītēja atrašana, Tie var kļūt par riska vektoriem, ja tiem nav stabilu un nepārtraukti pārbaudītu aizsardzības mehānismu..
Tas arī uzsver nepieciešamību rūpīgi konfigurēt privātuma iestatījumus. Ja profila attēls vai publiskais teksts atklāj vairāk informācijas nekā nepieciešams, tā plaša iedarbība kļūst par problēmu. draudu reizinātājs privātiem un profesionāliem lietotājiem.
Eiropas organizācijām un administrācijām ar drošības saistībām, Datu redzamības ierobežošana un iekšējo verifikācijas procedūru stiprināšana ārpus lietotnes palīdz samazināt uzbrukuma virsmu personības uzdošanās vai krāpniecības kampaņu.
Ko jūs varat darīt tieši tagad
Ja nav alternatīva identifikatora, Vislabākā lietotāja aizsardzība ietver pielāgot opcijas profila privātums un ieviest apdomīgus ziņojumapmaiņas paradumus.
- Ierobežot profila attēlu un informāciju, izvēloties “Mani kontakti” vai “Neviens”..
- Savā statusa tekstā neiekļaujiet sensitīvus datus vai personiskas saites..
- Esiet piesardzīgs pret negaidītiem ziņojumiem, pat ja tajos ir redzams jūsu vārds vai fotoattēls..
- Pārbaudiet visus steidzamos vai maksājuma pieprasījumus, izmantojot sekundāro kanālu.
Lai gan konkrētā masveida tautas skaitīšanas iespēja ir slēgta, šajā epizodē pierādījumi, ka publisku identifikatoru un nelielu kontroles mehānismu nepilnību kombinācija var radīt milzīgu riskuSamazinot citu personu redzamo jūsu konta informāciju līdz minimumam, tiek ierobežota turpmāko datu vākšanas metožu ietekme.
Austrijas pētījumi parādīja, ka Kopīgu funkciju varētu izmantot rūpnieciskā mērogā, lai validētu miljardiem skaitļu un saistītu ar tiem redzamus profilus.Meta ir noteikusi stingrākus ierobežojumus un apgalvo, ka nav pierādījumu par vardarbību, taču sociālās inženierijas riskiSecinājumi valstīs ar aizliegumiem un datu noturību uzsver nepieciešamību pārskatīt uz tālruņa numuru balstītu dizainu un veicināt stingrākus privātuma paradumus Eiropas lietotāju vidū.
Esmu tehnoloģiju entuziasts, kurš savas "geek" intereses ir pārvērtis profesijā. Es esmu pavadījis vairāk nekā 10 gadus no savas dzīves, izmantojot jaunākās tehnoloģijas un tīri ziņkārības vadīts ar visu veidu programmām. Tagad esmu specializējies datortehnoloģijās un videospēlēs. Tas ir tāpēc, ka vairāk nekā 5 gadus esmu rakstījis dažādām tīmekļa vietnēm par tehnoloģijām un videospēlēm, veidojot rakstus, kuru mērķis ir sniegt jums nepieciešamo informāciju ikvienam saprotamā valodā.
Ja jums ir kādi jautājumi, manas zināšanas svārstās no visa, kas saistīts ar Windows operētājsistēmu, kā arī Android mobilajiem tālruņiem. Un mana apņemšanās ir jums, es vienmēr esmu gatavs veltīt dažas minūtes un palīdzēt jums atrisināt visus jautājumus, kas jums varētu rasties šajā interneta pasaulē.