WhatsApp: En feil tillot utvinning av 3.500 milliarder numre og profildata.

En akademisk undersøkelse har satt søkelyset på sikkerhetsfeil i kontaktoppdagelsessystemet WhatsApp, som, når det utnyttes i stor skala, Det tillot verifisering av telefonnumre og massetilknytning av profildata til dem.Funnet beskriver hvordan en rutinemessig appprosess kan bli en kilde til informasjonseksponering hvis den gjentas i et industrielt tempo.

Studien, ledet av et team fra Universitetet i Wien, viste at det var mulig å sjekke eksistensen av kontoer for milliarder av tallkombinasjoner gjennom nettversjonen, uten effektive blokkeringer i flere måneder. Ifølge forfatterne ville vi snakket om at dersom ikke den prosessen hadde blitt utført på en ansvarlig måte en av de største dataeksponeringene som noen gang er dokumentert.

Hvordan gapet materialiserte seg: massetelling

Problemet handlet ikke om å knekke krypteringen, men om en konseptuell svakhet: kontaktsøkverktøy av tjenesten. WhatsApp lar brukere sjekke om et telefonnummer er registrert; å gjenta denne sjekken automatisk og i stor skala har åpnet døren for global sporing.

De østerrikske forskerne brukte nettgrensesnittet til å kontinuerlig teste tall, og nådde frem til en omtrentlig hastighet på 100 millioner kontroller i timen uten noen effektive fartsgrenser i løpet av den analyserte perioden. Dette volumet muliggjorde en enestående utvinning.

Resultatet av eksperimentet var avgjørende: de klarte å oppnå telefonnumre fra 3.500 milliarder kontoer av WhatsApp. I tillegg var de i stand til å knytte sammen offentlig tilgjengelige profildata for en betydelig del av utvalget.

Spesielt bemerket teamet at Profilbilder ble åpnet i 57 % av tilfellene, og offentlige statusmeldinger eller tilleggsinformasjon i 29 %.Selv om disse feltene avhenger av hver brukers konfigurasjon, forsterker eksponeringen deres i stor skala risikoen.

• 3.500 milliarder numre bekreftet som registrert på WhatsApp.
• 57 % med et offentlig tilgjengelig profilbilde.
• 29 % med søkbar profiltekst.

Tidligere advarsler som ikke ble fulgt i tide

Svakheten ved oppregning var ikke helt ny: allerede i 2017, den nederlandske forskeren Loran Kloeze Han advarte om at det var mulig å automatisere kontrollen av tall og knytte dem til synlige data.Advarselen varslet den nåværende situasjonen.

Wiens nylige arbeid tok den ideen til det ekstreme og viste at avhengighet av telefonnummeret som en unik identifikator er fortsatt problematiskSom forfatterne påpeker, tallene De er ikke laget for å fungere som hemmelige legitimasjonsbevisMen i praksis fyller de den rollen i mange tjenester.

En annen relevant konklusjon fra studien er at mye av den personlige informasjonen beholder sin verdi over tid: Teamet fant ut at 58 % av telefonene som ble avslørt i Facebook-lekkasjen i 2021 De er fortsatt aktive på WhatsApp i dag., noe som legger til rette for korrelasjoner og vedvarende kampanjer.

Foruten tallene, Massespørringsprosessen tillot utledning av visse tekniske metadataSom type klient eller operativsystem ansatt og tilstedeværelsen av skrivebordsversjoner, noe som gir mer overflateareal for profilering.

Metas svar: fartsgrenser og offisiell holdning

Forskerne De rapporterte funnet til Meta i april og slettet den genererte databasen etter å ha validert den.Selskapet implementerte det på sin side i oktober strengere tiltak for å begrense hastigheten å blokkere storskala opplisting via nettet.

I uttalelser sendt til spesialiserte medier uttrykte Meta takknemlighet for varselet gjennom sitt program med belønninger for fiasko Han understreket at informasjonen som ble vist var det hver bruker hadde konfigurert som synlig. Han uttalte også at han ikke hadde funnet bevis for ondsinnet misbruk av denne metoden.

Selskapet insisterte på at meldingene forble beskyttet på grunn av ende-til-ende-kryptering og det faktum at ingen ikke-offentlige data ble åpnet. Det var ingen indikasjoner på at kryptografisystemet hadde blitt ødelagt.

Etter flere tekniske møter belønnet WhatsApp forskningen med Amerikanske dollar 17.500For teamet tjente prosessen til å måle og teste effektiviteten til det nye forsvaret som ble utplassert etter varslingen.

Reelle risikoer: fra svindel til målretting i land med forbud

Utover de tekniske aspektene er hovedeffekten av denne eksponeringen praktisk. Med et synlig telefonnummer og profilinformasjon blir det mye enklere. bygge kampanjer for sosial manipulering og målrettede svindelforsøk som utnytter den kontekstuelle informasjonen til hvert offer.

Forskerne identifiserte også millioner av aktive kontoer i områder der WhatsApp er forbudt, som for eksempel Kina, Iran eller MyanmarSynligheten av disse tallene kan ha personlige eller juridiske konsekvenser for brukere i høyovervåkingssammenhenger.

Den massive tilgjengeligheten av gyldige telefoner forbedrer spam, doxing og phishing med høyere nøyaktighet, spesielt når profilbildet eller den offentlige teksten gir ledetråder om identitet, ansettelse eller tilknyttede sosiale nettverk.

Det er verdt å huske at informasjon, når den først er lagt til enorme databaser, kan sirkulere i årevis, og kombineres med andre lekkasjer for å berikende profiler og øke effektiviteten til angrepene.

Europa og Spania: hvorfor det er viktig her

I Spania og resten av EU, hvor WhatsApp er allestedsnærværende, er eksponeringen av informasjon i denne skalaen bekymret for dens potensielle innvirkning på millioner av brukere og bedrifterSelv om Meta korrigerte opptellingsmetoden, åpner hendelsen opp debatten om et design som er avhengig av telefonnummeret på nytt.

Saken, som involverer et europeisk universitetsteam, tjener som en påminnelse om at selv funksjoner som er utformet for enkelhets skyld – som å finne kontakter umiddelbart – De kan bli risikobærere hvis de ikke har solide og kontinuerlig verifiserte forsvar..

Det fremhever også behovet for å konfigurere personverninnstillingene nøye. Hvis profilbildet eller den offentlige teksten avslører mer informasjon enn nødvendig, blir den utbredte eksponeringen en trusselmultiplikator for private og profesjonelle brukere.

For europeiske organisasjoner og administrasjoner med sikkerhetsforpliktelser, Å begrense datasynligheten og styrke interne verifiseringsprosedyrer utenfor appen bidrar til redusere angrepsflaten av etterligning eller svindelkampanjer.

Hva du kan gjøre akkurat nå

I mangel av en alternativ identifikator, Det beste forsvaret for brukeren innebærer justere alternativer profilpersonvern og innføre fornuftige meldingsvaner.

• Begrens profilbilde og informasjon til «Mine kontakter» eller «Ingen».
• Unngå å inkludere sensitive data eller personlige lenker i statusteksten din..
• Vær forsiktig med uventede meldinger, selv om de viser navnet eller bildet ditt.
• Bekreft eventuelle hasteforespørsler eller betalingsforespørsler gjennom en sekundær kanal.

Selv om den spesifikke veien for massetelling har blitt stengt, er denne episoden bevis for at kombinasjonen av offentlige identifikatorer og små tilsyn i kontroller kan føre til enorme eksponeringerÅ holde det andre kan se av kontoen din til et minimum begrenser effekten av fremtidige høstingsteknikker.

Østerriksk forskning viste at En felles funksjon kan utnyttes i industriell skala for å validere milliarder av tall og knytte synlige profiler til dem.Meta har strammet inn grensene og hevder at det ikke finnes bevis for misbruk, men risikoer knyttet til sosial manipuleringFunnene i land med forbud og datapersistens fremhever behovet for å gjennomgå telefonnummerbasert design og oppmuntre til strengere personvernvaner blant europeiske brukere.