WhatsApp: Пропуст овозможи извлекување на 3.500 милијарди броеви и податоци за профили.

Академско истражување го стави во фокусот безбедносен пропуст во системот за откривање контакти WhatsApp, кој, кога се експлоатира во голем обем, Тоа овозможи верификација на телефонските броеви и масовно поврзување на податоците од профилот со нив.Наодот опишува како рутинскиот процес на апликација може да стане, ако се повторува со индустриско темпо, извор на изложеност на информации.

Студијата, предводена од тим од Универзитетот во Виена, покажа дека е можно да се провери постоењето на сметки за милијарди комбинации на броеви преку веб-верзијата, без ефективни блокади со месеци. Според авторите, доколку тој процес не беше спроведен одговорно, ќе зборувавме за една од најголемите изложености на податоци некогаш документирани.

Како се материјализираше јазот: масовно попишување

Проблемот не беше во пробивањето на енкрипцијата, туку во концептуална слабост: алатка за пребарување контакти на услугата. WhatsApp им овозможува на корисниците да проверат дали телефонскиот број е регистриран; повторувањето на оваа проверка автоматски и на големо ја отвори вратата за глобално следење.

Австриските истражувачи го користеа веб-интерфејсот за континуирано тестирање на броевите, достигнувајќи приближна стапка од 100 милиони проверки на час без никакви ефективни ограничувања на брзината во текот на анализираниот период. Тој обем овозможи невидена екстракција.

Резултатот од експериментот беше убедлив: тие беа во можност да го добијат телефонски броеви од 3.500 милијарди сметки на WhatsApp. Покрај тоа, тие беа во можност да поврзат јавно достапни податоци за профилот за значителен дел од тој примерок.

Поточно, тимот забележа дека Профилните слики биле достапни во 57% од случаите, а јавните статуси или дополнителните информации во 29%.Иако овие полиња зависат од конфигурацијата на секој корисник, нивната изложеност на голем обем го зголемува ризикот.

• 3.500 милијарди броеви се потврдени како регистрирани на WhatsApp.
• 57% со јавно достапна профилна слика.
• 29% со текст на профилот што може да се пребарува.

Претходни предупредувања кои не беа земени предвид на време

Слабоста на попишувањето не беше сосема нова: веќе во 2017 година, холандскиот истражувач Лоран Клоез Тој предупреди дека е можно да се автоматизира проверката на броевите и да се поврзат со видливи податоци.Тоа предупредување ја најави моменталната ситуација.

Неодамнешната работа на Виена ја доведе таа идеја до крајност и покажа дека зависност од телефонскиот број бидејќи единствениот идентификатор останува проблематиченКако што истакнуваат авторите, бројките Тие не се дизајнирани да дејствуваат како тајни акредитивиНо, во пракса тие ја исполнуваат таа улога во многу услуги.

Друг релевантен заклучок од студијата е дека голем дел од личните информации ја задржуваат својата вредност со текот на времето: Тимот откри дека 58% од телефоните откриени во протекувањето на информациите од Фејсбук во 2021 година Тие се уште се активни на WhatsApp денес., што олеснува корелации и постојани кампањи.

Освен бројките, Процесот на масовно барање овозможи да се изведат одредени технички метаподатоцикако него тип на клиент или оперативен систем вработен и присуството на десктоп верзии, што додава површина за профилирање.

Одговорот на Мета: ограничувања на брзината и официјален став

Истражувачи Тие го пријавија наодот во „Мета“ во април и ја избришаа генерираната база на податоци откако ја потврдија.Компанијата, од своја страна, го имплементираше во октомври построги мерки за ограничување на стапките да се блокира попишувањето на големи размери преку интернет.

Во соопштенијата испратени до специјализирани медиуми, Мета изрази благодарност за известувањето преку својата програма за награди за неуспех Тој нагласи дека прикажаните информации се она што секој корисник го конфигурирал како видливо. Исто така, изјави дека не пронашол докази за злонамерна злоупотреба на овој метод.

Компанијата инсистираше дека пораките останаа заштитени поради енкрипција од крај до крај и фактот дека не е пристапено до никакви приватни податоци. Немаше индикации дека криптографскиот систем бил пробиен.

По неколку технички состаноци, WhatsApp го награди истражувањето со САД долар 17.500За тимот, процесот служеше за мерење и тестирање на ефикасноста на новите одбрани распоредени по известувањето.

Вистински ризици: од измама до таргетирање во земји со забрани

Освен техничките аспекти, главното влијание на оваа изложеност е практично. Со видливи телефонски број и информации за профилот, станува многу полесно. креирајте кампањи за социјален инженеринг и целни измами што ги експлоатираат контекстуалните информации на секоја жртва.

Истражувачите, исто така, идентификуваа милиони активни сметки на територии каде што WhatsApp е забранет, како што се Кина, Иран или МјанмарВидливоста на овие броеви може да има лични или правни последици за корисниците во контексти со висок надзор.

Масивната достапност на валидни телефони го подобрува спам, доксинг и фишинг со повисоко ниво на точност, особено кога сликата на профилот или јавниот текст даваат индиции за идентитет, вработување или поврзани социјални мрежи.

Вреди да се запомни дека, откако ќе се додадат во огромни бази на податоци, информациите можат да циркулираат со години, комбинирајќи се со други протекувања за да... збогатување на профили и да се зголеми ефикасноста на нападите.

Европа и Шпанија: зошто е важно овде

Во Шпанија и остатокот од ЕУ, каде што WhatsApp е сеприсутен, изложеноста на информации од ова ниво загрижени за неговото потенцијално влијание врз милиони корисници и бизнисиИако Мета го коригираше методот на попишување, инцидентот повторно ја отвора дебатата за дизајнот што се потпира на телефонскиот број.

Случајот, во кој е вклучен тим од европски универзитет, служи како потсетник дека дури и функциите дизајнирани за погодност - како што е моменталното пронаоѓање контакти - Тие можат да станат вектори на ризик ако немаат солидна и континуирано проверена одбрана..

Исто така, се нагласува потребата внимателно да се конфигурираат поставките за приватност. Доколку сликата на профилот или јавниот текст откријат повеќе информации отколку што е потребно, нејзината широка изложеност станува мултипликатор на закана за приватни и професионални корисници.

За европските организации и администрации со безбедносни обврски, Ограничувањето на видливоста на податоците и зајакнувањето на внатрешните процедури за верификација надвор од апликацијата помага да се намалете ја површината за напад за лажно претставување или измамнички кампањи.

Што можете да направите токму сега?

Во отсуство на алтернативен идентификатор, Најдобрата одбрана за корисникот вклучува прилагодете ги опциите приватност на профилот и да усвојат разумни навики за пораки.

• Ограничете ја сликата и информациите на профилот на „Мои контакти“ или „Никој“.
• Избегнувајте вклучување чувствителни податоци или лични линкови во текстот за статус..
• Бидете внимателни со неочекувани пораки, дури и ако на нив се гледа вашето име или фотографија.
• Проверете ги сите итни барања или барања за плаќање преку секундарен канал.

Иако специфичниот пат за масовно попишување е затворен, оваа епизода докази дека комбинацијата од јавни идентификатори и мали пропусти во контролите може да доведе до огромни изложеностиСо сведување на минимум на она што другите можат да го видат од вашата сметка, се ограничува влијанието на идните техники за собирање податоци.

Австриските истражувања покажаа дека Заедничка функција би можела да се искористи на индустриско ниво за да се валидираат милијарди броеви и да се поврзат видливи профили со нив.Мета ги заостри ограничувањата и тврди дека нема докази за злоупотреба, но ризици од социјален инженерингНаодите во земјите со забрани и перзистентност на податоци ја истакнуваат потребата од преиспитување на дизајнот базиран на телефонски број и од поттикнување на построги навики за приватност кај европските корисници.