WhatsApp: Difett ippermetta l-estrazzjoni ta’ 3.500 biljun numru u dejta tal-profil.

Investigazzjoni akkademika poġġiet dawl fuq difett fis-sigurtà fis-sistema ta' skoperta ta' kuntatti WhatsApp, li, meta jiġi sfruttat fuq skala kbira, Dan ippermetta l-verifika tan-numri tat-telefon u l-assoċjazzjoni tal-massa tad-dejta tal-profil magħhom.Is-sejba tiddeskrivi kif proċess ta' rutina ta' app jista' jsir, jekk jiġi ripetut b'pass industrijali, sors ta' esponiment għal informazzjoni.

L-istudju, immexxi minn tim mill-Università ta’ Vjenna, wera li kien possibbli li tiġi vverifikata l-eżistenza ta’ kontijiet għal biljuni ta’ kombinazzjonijiet ta’ numri permezz tal-verżjoni tal-web, mingħajr imblukkar effettiv għal xhur sħaħ. Skont l-awturi, kieku dak il-proċess ma kienx twettaq b'mod responsabbli, konna nkunu qed nitkellmu dwar waħda mill-akbar esponimenti ta' dejta li qatt ġew dokumentati.

Kif immaterjalizzat id-distakk: enumerazzjoni tal-massa

Il-problema ma kinitx dwar il-ksur tal-kriptaġġ, iżda dwar dgħufija kunċettwali: il- għodda tat-tiftix tal-kuntatti tas-servizz. WhatsApp jippermetti lill-utenti jivverifikaw jekk numru tat-telefon huwiex irreġistrat; ir-ripetizzjoni ta’ din il-verifika awtomatikament u fuq skala kbira fetħet il-bieb għal traċċar globali.

Ir-riċerkaturi Awstrijaċi użaw l-interfaċċja tal-web biex kontinwament jittestjaw in-numri, u laħqu rata approssimattiva ta' 100 miljun verifika fis-siegħa mingħajr ebda limiti ta' veloċità effettivi matul il-perjodu analizzat. Dak il-volum għamel possibbli estrazzjoni bla preċedent.

Ir-riżultat tal-esperiment kien konklużiv: irnexxielhom jiksbu l- numri tat-telefon minn 3.500 biljun kont minn WhatsApp. Barra minn hekk, setgħu jassoċjaw dejta tal-profil disponibbli pubblikament għal porzjon sinifikanti ta' dak il-kampjun.

Speċifikament, it-tim innota li Ir-ritratti tal-profil ġew aċċessati f'57% tal-każijiet, u testi ta' status pubbliku jew informazzjoni addizzjonali f'29%.Għalkemm dawn l-oqsma jiddependu fuq il-konfigurazzjoni ta' kull utent, l-esponiment tagħhom fuq skala kbira jamplifika r-riskju.

• 3.500 biljun numru vverifikati bħala rreġistrati fuq WhatsApp.
• 57% b'ritratt tal-profil aċċessibbli għall-pubbliku.
• 29% b'test tal-profil li jista' jiġi mfittex.

Twissijiet preċedenti li ma ngħatawx widen fil-ħin

Id-dgħufija tal-enumerazzjoni ma kinitx kompletament ġdida: diġà fl-2017, ir-riċerkatur Olandiż Loran Kloeze Huwa wissa li kien possibbli li l-iċċekkjar tan-numri jiġi awtomatizzat u li dawn jiġu assoċjati ma' dejta viżibbli.Dik it-twissija bassret is-sitwazzjoni attwali.

Ix-xogħol reċenti ta’ Vienna ħa dik l-idea sal-estrem u wera li dipendenza fuq in-numru tat-telefon bħala identifikatur uniku jibqa' problematikuKif jindikaw l-awturi, in-numri Mhumiex iddisinjati biex jaġixxu bħala kredenzjali sigrietiIżda fil-prattika huma jwettqu dak ir-rwol f'ħafna servizzi.

Konklużjoni rilevanti oħra tal-istudju hija li ħafna mill-informazzjoni personali żżomm il-valur tagħha maż-żmien: It-tim sab li 58% tat-telefowns li ġew esposti fit-tnixxija ta’ Facebook tal-2021 Għadhom attivi fuq WhatsApp illum., li jiffaċilita l-korrelazzjonijiet u l-kampanji persistenti.

Minbarra n-numri, Il-proċess ta' mistoqsijiet tal-massa ppermetta li tiġi dedotta ċerta metadata teknika, bħall- tip ta' klijent jew sistema operattiva impjegat u l-preżenza ta' verżjonijiet tad-desktop, li żżid l-erja tal-wiċċ għall-profiling.

Ir-risposta ta' Meta: limiti tal-veloċità u pożizzjoni uffiċjali

Investigaturi Huma rrappurtaw is-sejba lil Meta f'April u ħassru d-database ġġenerata wara li vvalidawha.Il-kumpanija, min-naħa tagħha, implimentatha f'Ottubru miżuri aktar stretti li jillimitaw ir-rata biex timblokka l-enumerazzjoni fuq skala kbira permezz tal-web.

Fi stqarrijiet mibgħuta lil aġenziji tal-midja speċjalizzati, Meta esprimiet gratitudni għan-notifika permezz tal-programm tagħha ta' premjijiet għall-falliment Huwa enfasizza li l-informazzjoni murija kienet dik li kull utent kien ikkonfigura bħala viżibbli. Huwa ddikjara wkoll li ma sab l-ebda evidenza ta’ abbuż malizzjuż ta’ dan il-metodu.

Il-kumpanija insistiet li l- il-messaġġi baqgħu protetti minħabba l-kriptaġġ minn tarf sa tarf u l-fatt li ma ġiet aċċessata l-ebda dejta mhux pubblika. Ma kien hemm l-ebda indikazzjoni li s-sistema kriptografika kienet imkissra.

Wara diversi laqgħat tekniċi, WhatsApp ippremjat ir-riċerka b’ $17.500Għat-tim, il-proċess serva biex ikejjel u jittestja l-effettività tad-difiżi l-ġodda skjerati wara n-notifika.

Riskji reali: minn frodi sa mira f'pajjiżi bi projbizzjonijiet

Lil hinn mill-aspetti tekniċi, l-impatt ewlieni ta’ din l-espożizzjoni huwa prattiku. B’numru tat-telefon u informazzjoni tal-profil viżibbli, isir ħafna aktar faċli. nibnu kampanji ta' inġinerija soċjali u scams immirati li jisfruttaw l-informazzjoni kuntestwali ta’ kull vittma.

Ir-riċerkaturi identifikaw ukoll miljuni ta’ kontijiet attivi f’territorji fejn WhatsApp huwa pprojbit, bħal iċ-Ċina, l-Iran, jew il-MyanmarIl-viżibilità ta' dawn in-numri jista' jkollha konsegwenzi personali jew legali għall-utenti f'kuntesti ta' sorveljanza għolja.

Id-disponibbiltà massiva ta' telefowns validi ssaħħaħ il- spam, doxxing u phishing b'livell ogħla ta' preċiżjoni, speċjalment meta r-ritratt tal-profil jew it-test pubbliku jipprovdu ħjiel dwar l-identità, l-impjieg, jew in-netwerks soċjali konnessi.

Ta’ min jiftakar li, ladarba tiżdied ma’ databases enormi, l-informazzjoni tista’ tiċċirkola għal snin sħaħ, u tikkombina ma’ tnixxijiet oħra biex arrikkixxi l-profili u żżid l-effettività tal-attakki.

L-Ewropa u Spanja: għaliex hija importanti hawnhekk

Fi Spanja u fil-bqija tal-UE, fejn WhatsApp huwa mifrux ma’ kullimkien, l-espożizzjoni ta’ informazzjoni fuq din l-iskala imħasseb dwar l-impatt potenzjali tiegħu fuq miljuni ta’ utenti u negozjiGħalkemm Meta kkoreġiet il-metodu tal-enumerazzjoni, l-inċident jerġa' jiftaħ id-dibattitu dwar disinn li jiddependi fuq in-numru tat-telefon.

Il-każ, li jinvolvi tim ta’ università Ewropea, iservi bħala tfakkira li anke karatteristiċi ddisinjati għall-konvenjenza—bħas-sejba ta’ kuntatti istantanjament— Jistgħu jsiru vetturi ta' riskju jekk ma jkollhomx difiżi sodi u vverifikati kontinwament..

Jenfasizza wkoll il-ħtieġa li jiġu kkonfigurati s-settings tal-privatezza bir-reqqa. Jekk ir-ritratt tal-profil jew it-test pubbliku jiżvelaw aktar informazzjoni milli meħtieġ, l-esponiment mifrux tiegħu jsir problema kbira. multiplikatur tat-theddid għal utenti privati ​​u professjonali.

Għal organizzazzjonijiet u amministrazzjonijiet Ewropej b'obbligi ta' sigurtà, Il-limitazzjoni tal-viżibilità tad-dejta u t-tisħiħ tal-proċeduri ta' verifika interna barra l-app jgħinu biex tnaqqas il-wiċċ tal-attakk ta’ impersonazzjoni jew kampanji ta’ frodi.

X'tista' tagħmel issa stess?

Fin-nuqqas ta' identifikatur alternattiv, L-aħjar difiża għall-utent tinvolvi aġġusta l-għażliet privatezza tal-profil u adotta drawwiet prudenti fil-messaġġi.

• Irrestrinġi r-ritratt u l-informazzjoni tal-profil għal "Il-kuntatti tiegħi" jew "Ħadd".
• Evita li tinkludi dejta sensittiva jew links personali fit-test tal-istatus tiegħek..
• Oqgħod attent minn messaġġi mhux mistennija, anke jekk juru ismek jew ritratt tiegħek.
• Ivverifika kwalunkwe talba urġenti jew ta' ħlas permezz ta' kanal sekondarju.

Għalkemm it-triq speċifika għall-enumerazzjoni tal-massa ngħalqet, dan l-episodju evidenza li l-kombinazzjoni ta' identifikaturi pubbliċi u nuqqasijiet żgħar fil-kontrolli tista' twassal għal esponimenti enormiLi żżomm dak li oħrajn jistgħu jaraw mill-kont tiegħek għall-minimu jillimita l-impatt ta' tekniki ta' ħsad futuri.

Riċerka Awstrijaka wriet li Funzjoni komuni tista' tiġi sfruttata fuq skala industrijali biex tivvalida biljuni ta' numri u tassoċja profili viżibbli magħhom.Meta ssikkat il-limiti u ssostni li m'hemm l-ebda evidenza ta' abbuż, iżda l- riskji tal-inġinerija soċjaliIs-sejbiet f'pajjiżi bi projbizzjonijiet u persistenza tad-dejta jenfasizzaw il-ħtieġa li jiġi rivedut id-disinn ibbażat fuq in-numri tat-telefon u li jiġu mħeġġa drawwiet ta' privatezza aktar stretti fost l-utenti Ewropej.