Cacat keselamatan WhatsApp: 3.500 bilion nombor telefon terdedah

Penyelidik di Vienna menunjukkan penghitungan besar-besaran nombor di WhatsApp pada skala global.
3.500 bilion nombor diperolehi, gambar profil dalam 57% dan teks awam dalam 29%.
Meta melaksanakan had laju pada bulan Oktober dan mendakwa bahawa penyulitan mesej tidak terjejas.
Risiko itu termasuk penipuan dan pendedahan yang disasarkan di negara yang mengharamkan WhatsApp.

Penyiasatan akademik telah memberi tumpuan kecacatan keselamatan dalam sistem penemuan kenalan WhatsApp, yang, apabila dieksploitasi secara besar-besaran, Ia membenarkan pengesahan nombor telefon dan perkaitan besar-besaran data profil dengan mereka.Penemuan ini menerangkan bagaimana proses aplikasi rutin boleh menjadi, jika diulang pada kadar industri, sumber pendedahan maklumat.

Kajian yang diketuai oleh pasukan dari Universiti Vienna, menunjukkan bahawa adalah mungkin untuk menyemak kewujudan akaun untuk berbilion kombinasi nombor melalui versi web, tanpa sekatan berkesan selama berbulan-bulan. Menurut penulis, jika proses itu tidak dijalankan secara bertanggungjawab, kita akan bercakap tentang salah satu pendedahan data terbesar yang pernah didokumenkan.

Bagaimana jurang itu terwujud: penghitungan besar-besaran

WhatsApp digodam

Masalahnya bukan tentang memecahkan penyulitan, tetapi mengenai kelemahan konsep: the alat carian kenalan perkhidmatan. WhatsApp membenarkan pengguna menyemak sama ada nombor telefon didaftarkan; mengulangi semakan ini secara automatik dan secara besar-besaran telah membuka pintu kepada penjejakan global.

Para penyelidik Austria menggunakan antara muka web untuk menguji nombor secara berterusan, mencapai kadar anggaran 100 juta cek sejam tanpa sebarang had laju yang berkesan dalam tempoh yang dianalisis. Jumlah itu memungkinkan pengekstrakan yang belum pernah terjadi sebelumnya.

Keputusan eksperimen adalah muktamad: mereka dapat memperoleh nombor telefon daripada 3.500 bilion akaun daripada WhatsApp. Di samping itu, mereka dapat mengaitkan data profil yang tersedia secara umum untuk sebahagian besar sampel itu.

Kandungan eksklusif - Klik Di Sini Bagaimanakah anda menukar kata laluan untuk Kaspersky Internet Security untuk Mac?

Secara khusus, pasukan itu menyatakan bahawa Gambar profil telah diakses dalam 57% kes, dan teks status awam atau maklumat tambahan dalam 29%.Walaupun medan ini bergantung pada konfigurasi setiap pengguna, pendedahannya pada skala meningkatkan risiko.

3.500 bilion nombor disahkan sebagai didaftarkan di WhatsApp.
57% dengan gambar profil yang boleh diakses secara umum.
29% dengan teks profil yang boleh dicari.

Amaran terdahulu yang tidak diendahkan dalam masa

Amaran kebocoran data WhatsApp

Kelemahan penghitungan bukanlah sesuatu yang baru: sudah pada tahun 2017, penyelidik Belanda Loran Kloeze Beliau memberi amaran bahawa adalah mungkin untuk mengautomasikan penyemakan nombor dan mengaitkannya dengan data yang boleh dilihat.Amaran itu menggambarkan keadaan semasa.

Kerja terbaru Vienna membawa idea itu ke tahap yang melampau dan menunjukkan bahawa pergantungan pada nombor telefon sebagai pengecam unik tetap bermasalahSeperti yang ditunjukkan oleh pengarang, nombor Mereka tidak direka untuk bertindak sebagai bukti kelayakan rahsiaTetapi dalam amalan mereka memenuhi peranan itu dalam banyak perkhidmatan.

Satu lagi kesimpulan kajian yang relevan ialah kebanyakan maklumat peribadi mengekalkan nilainya dari semasa ke semasa: Pasukan mendapati bahawa 58% daripada telefon terdedah dalam kebocoran Facebook 2021 Mereka masih aktif di WhatsApp hari ini., yang memudahkan korelasi dan kempen berterusan.

Selain nombor, Proses pertanyaan massa membenarkan metadata teknikal tertentu disimpulkan, seperti jenis pelanggan atau sistem pengendalian pekerja dan kehadiran versi desktop, yang menambah luas permukaan untuk pemprofilan.

Maklum balas Meta: had laju dan pendirian rasmi

muat turun dewasa meta

Para penyelidik Mereka melaporkan penemuan itu kepada Meta pada bulan April dan memadam pangkalan data yang dijana selepas mengesahkannya.Syarikat itu, bagi pihaknya, melaksanakannya pada bulan Oktober langkah mengehadkan kadar yang lebih ketat untuk menyekat penghitungan berskala besar melalui web.

Dalam kenyataan yang dihantar kepada saluran media khusus, Meta melahirkan rasa terima kasih atas pemberitahuan melalui programnya ganjaran kegagalan Beliau menegaskan bahawa maklumat yang dipaparkan adalah apa yang telah dikonfigurasikan oleh setiap pengguna sebagai boleh dilihat. Dia juga menyatakan bahawa dia tidak menemui bukti penyalahgunaan kaedah ini.

Kandungan eksklusif - Klik Di Sini Inisiatif keselamatan pada Roblox

Syarikat itu menegaskan bahawa mesej kekal dilindungi disebabkan penyulitan hujung ke hujung dan fakta bahawa tiada data bukan awam diakses. Tiada petunjuk bahawa sistem kriptografi telah rosak.

Selepas beberapa mesyuarat teknikal, WhatsApp memberi ganjaran kepada penyelidikan itu dengan Dolar AS 17.500Bagi pasukan, proses itu berfungsi untuk mengukur dan menguji keberkesanan pertahanan baharu yang digunakan selepas pemberitahuan.

Risiko sebenar: daripada penipuan kepada penyasaran di negara dengan larangan

Di luar aspek teknikal, impak utama pendedahan ini adalah praktikal. Dengan nombor telefon dan maklumat profil boleh dilihat, ia menjadi lebih mudah. membina kempen kejuruteraan sosial dan penipuan disasarkan yang mengeksploitasi maklumat kontekstual setiap mangsa.

Para penyelidik juga mengenal pasti berjuta-juta akaun aktif di wilayah di mana WhatsApp diharamkan, seperti China, Iran atau MyanmarKeterlihatan nombor ini mungkin mempunyai akibat peribadi atau undang-undang untuk pengguna dalam konteks pengawasan tinggi.

Ketersediaan besar-besaran telefon yang sah meningkatkan spam, doxxing dan pancingan data dengan tahap ketepatan yang lebih tinggi, terutamanya apabila gambar profil atau teks awam memberikan petunjuk tentang identiti, pekerjaan atau rangkaian sosial yang dipautkan.

Perlu diingat bahawa, setelah ditambahkan ke pangkalan data yang besar, maklumat boleh beredar selama bertahun-tahun, digabungkan dengan kebocoran lain untuk memperkayakan profil dan meningkatkan keberkesanan serangan.

Eropah dan Sepanyol: mengapa ia penting di sini

Di Sepanyol dan seluruh EU, di mana WhatsApp berada di mana-mana, pendedahan maklumat pada skala ini mengambil berat tentang potensi kesannya terhadap berjuta-juta pengguna dan perniagaanWalaupun Meta membetulkan kaedah penghitungan, kejadian itu membuka semula perdebatan tentang reka bentuk yang bergantung pada nombor telefon.

Kes itu, yang melibatkan pasukan universiti Eropah, berfungsi sebagai peringatan bahawa malah ciri yang direka untuk kemudahan—seperti mencari kenalan serta-merta— Mereka boleh menjadi vektor risiko jika mereka tidak mempunyai pertahanan yang kukuh dan disahkan secara berterusan.

Kandungan eksklusif - Klik Di Sini Bagaimana untuk menyenyapkan WhatsApp

Ia juga menyerlahkan keperluan untuk mengkonfigurasi tetapan privasi dengan berhati-hati. Jika gambar profil atau teks awam mendedahkan lebih banyak maklumat daripada yang diperlukan, pendedahan meluasnya menjadi a pengganda ancaman untuk pengguna peribadi dan profesional.

Bagi organisasi dan pentadbiran Eropah yang mempunyai kewajipan keselamatan, Mengehadkan keterlihatan data dan mengukuhkan prosedur pengesahan dalaman di luar apl membantu mengurangkan permukaan serangan kempen penyamaran atau penipuan.

Apa yang boleh anda lakukan sekarang

Dengan ketiadaan pengecam alternatif, Pertahanan terbaik untuk pengguna melibatkan laraskan pilihan privasi profil dan mengamalkan tabiat pemesejan berhemat.

Hadkan gambar profil dan maklumat kepada "Kenalan saya" atau "Tiada sesiapa".
Elakkan memasukkan data sensitif atau pautan peribadi dalam teks status anda..
Berhati-hati dengan mesej yang tidak dijangka, walaupun ia menunjukkan nama atau foto anda.
Sahkan sebarang permintaan segera atau pembayaran melalui saluran kedua.

Walaupun saluran khusus untuk penghitungan massa telah ditutup, episod ini bukti bahawa gabungan pengecam awam dan pengawasan kecil dalam kawalan boleh membawa kepada pendedahan yang besarMengekalkan perkara yang orang lain boleh lihat tentang akaun anda pada tahap minimum mengehadkan kesan teknik penuaian masa hadapan.

Penyelidikan Austria menunjukkan bahawa Fungsi biasa boleh dieksploitasi pada skala industri untuk mengesahkan berbilion nombor dan mengaitkan profil yang boleh dilihat dengannya.Meta telah mengetatkan had dan mengekalkan bahawa tiada bukti penyalahgunaan, tetapi risiko kejuruteraan sosialPenemuan di negara yang mempunyai larangan dan data berterusan menyerlahkan keperluan untuk menyemak reka bentuk berasaskan nombor telefon dan untuk menggalakkan tabiat privasi yang lebih ketat di kalangan pengguna Eropah.

artikel berkaitan:

Bagaimana untuk membetulkan akaun WhatsApp yang disekat

Alberto navarro

Saya seorang peminat teknologi yang telah menjadikan minat "geek"nya sebagai satu profesion. Saya telah menghabiskan lebih daripada 10 tahun hidup saya menggunakan teknologi canggih dan bermain-main dengan semua jenis program kerana rasa ingin tahu yang tulen. Sekarang saya mempunyai pakar dalam teknologi komputer dan permainan video. Ini kerana selama lebih daripada 5 tahun saya telah menulis untuk pelbagai laman web mengenai teknologi dan permainan video, mencipta artikel yang bertujuan untuk memberi anda maklumat yang anda perlukan dalam bahasa yang boleh difahami oleh semua orang.

Jika anda mempunyai sebarang soalan, pengetahuan saya merangkumi semua perkara yang berkaitan dengan sistem pengendalian Windows serta Android untuk telefon mudah alih. Dan komitmen saya adalah kepada anda, saya sentiasa bersedia untuk meluangkan masa beberapa minit dan membantu anda menyelesaikan sebarang soalan yang mungkin anda ada dalam dunia internet ini.