WhatsApp: Chyba umožnila extrakciu 3.500 miliardy čísel a údajov z profilov.

Akademický výskum upriamil pozornosť na bezpečnostná chyba v systéme vyhľadávania kontaktov WhatsApp, ktorý pri rozsiahlom zneužívaní Umožnilo overovanie telefónnych čísel a hromadné prepojenie profilových údajov s nimi.Zistenie opisuje, ako sa rutinný proces aplikácie môže, ak sa opakuje priemyselným tempom, stať zdrojom úniku informácií.

Štúdia, ktorú viedol tím z Viedenskej univerzity, preukázala, že je možné overiť existenciu účtov pre miliardy číselných kombinácií prostredníctvom webovej verzie, bez účinných blokovaní celé mesiace. Podľa autorov, ak by sa tento proces nevykonal zodpovedne, hovorili by sme o jeden z najväčších zdokumentovaných únikov údajov.

Ako sa medzera prejavila: hromadné sčítanie

Problém nebol v prelomení šifrovania, ale v koncepčnej slabine: nástroj na vyhľadávanie kontaktov služby. WhatsApp umožňuje používateľom skontrolovať, či je telefónne číslo zaregistrované; automatické a rozsiahle opakovanie tejto kontroly otvorilo dvere globálnemu sledovaniu.

Rakúski výskumníci použili webové rozhranie na priebežné testovanie čísel a dosiahli približná rýchlosť 100 miliónov kontrol za hodinu bez akýchkoľvek účinných obmedzení rýchlosti počas analyzovaného obdobia. Tento objem umožnil bezprecedentnú ťažbu.

Výsledok experimentu bol presvedčivý: podarilo sa im získať telefónne čísla z 3.500 miliardy účtov z WhatsAppu. Okrem toho boli schopní prepojiť verejne dostupné profilové údaje pre významnú časť tejto vzorky.

Tím konkrétne poznamenal, že Profilové obrázky boli zobrazené v 57 % prípadov a verejné statusy alebo dodatočné informácie v 29 %.Hoci tieto polia závisia od konfigurácie každého používateľa, ich vystavenie vo väčšom rozsahu zvyšuje riziko.

• 3.500 miliardy čísel overených ako registrovaných na WhatsApp.
• 57 % s verejne prístupnou profilovou fotkou.
• 29 % s vyhľadávateľným textom profilu.

Predchádzajúce varovania, ktoré neboli včas rešpektované

Slabosť enumerácie nebola úplne nová: už v roku 2017, holandský výskumník Loran Kloeze Varoval, že je možné automatizovať kontrolu čísel a prepojiť ich s viditeľnými údajmi.Toto varovanie predznamenalo súčasnú situáciu.

Vienna vo svojej nedávnej práci dotiahla túto myšlienku do extrému a ukázalo, že závislosť od telefónneho čísla ako jedinečný identifikátor zostáva problematickýAko autori zdôrazňujú, čísla Nie sú určené na to, aby slúžili ako tajné prihlasovacie údaje.V praxi však túto úlohu plnia v mnohých službách.

Ďalším relevantným záverom štúdie je, že veľká časť osobných údajov si zachováva svoju hodnotu aj v priebehu času: Tím zistil, že 58 % telefónov bolo odhalených pri úniku informácií z Facebooku v roku 2021 Dodnes sú stále aktívni na WhatsApp., čo uľahčuje korelácie a pretrvávajúce kampane.

Okrem čísel, Proces hromadného vyhľadávania umožnil odvodiť určité technické metadáta, ako napríklad typ klienta alebo operačného systému zamestnanec a prítomnosť desktopových verzií, čo pridáva plochu na profilovanie.

Metova odpoveď: rýchlostné limity a oficiálny postoj

vedci Zistenie nahlásili spoločnosti Meta v apríli a po overení vygenerovanú databázu vymazali.Spoločnosť ho zaviedla v októbri prísnejšie opatrenia na obmedzenie sadzieb blokovať rozsiahle sčítanie cez web.

Vo vyhláseniach zaslaných špecializovaným médiám spoločnosť Meta vyjadrila vďaku za oznámenie prostredníctvom svojho programu odmeny za zlyhanie Zdôraznil, že zobrazené informácie boli tie, ktoré si každý používateľ nastavil ako viditeľné. Taktiež uviedol, že nenašiel žiadne dôkazy o zlomyseľnom zneužití tejto metódy.

Spoločnosť trvala na tom, že správy zostali chránené kvôli end-to-end šifrovaniu a skutočnosti, že nebol prístup k žiadnym neverejným údajom. Neexistoval žiadny náznak, že by bol kryptografický systém prelomený.

Po niekoľkých technických stretnutiach WhatsApp odmenil výskum... 5 999 dolárovPre tím tento proces slúžil na meranie a testovanie účinnosti nových obranných opatrení nasadených po oznámení.

Skutočné riziká: od podvodov až po cielené útoky v krajinách so zákazmi

Okrem technických aspektov je hlavným dopadom tejto prezentácie praktický. S viditeľným telefónnym číslom a informáciami o profile je to oveľa jednoduchšie. vytvárať kampane sociálneho inžinierstva a cielené podvody, ktoré zneužívajú kontextové informácie o každej obeti.

Výskumníci tiež identifikovali milióny aktívnych účtov na územiach, kde je WhatsApp zakázaný, ako napríklad Čína, Irán alebo MjanmarskoViditeľnosť týchto čísel by mohla mať osobné alebo právne dôsledky pre používateľov v kontexte prísneho sledovania.

Masívna dostupnosť platných telefónov zvyšuje spam, doxxing a phishing s vyššou úrovňou presnosti, najmä ak profilový obrázok alebo verejný text poskytuje indície o identite, zamestnaní alebo prepojených sociálnych sieťach.

Je potrebné pripomenúť, že po pridaní do obrovských databáz môžu informácie kolovať roky a kombinovať sa s ďalšími únikmi... obohatiť profily a zvýšiť účinnosť útokov.

Európa a Španielsko: prečo je to tu dôležité

V Španielsku a zvyšku EÚ, kde je WhatsApp všadeprítomný, je šírenie informácií v tomto rozsahu znepokojený jeho potenciálnym dopadom na milióny používateľov a firiemHoci Meta opravila metódu enumerácie, incident znovu otvára diskusiu o dizajne, ktorý sa spolieha na telefónne číslo.

Prípad, do ktorého bol zapojený tím európskej univerzity, slúži ako pripomienka, že aj funkcie navrhnuté pre pohodlie – ako napríklad okamžité vyhľadávanie kontaktov – Môžu sa stať vektormi rizika, ak nemajú solídnu a neustále overovanú obranu..

Zdôrazňuje tiež potrebu starostlivo nakonfigurovať nastavenia ochrany osobných údajov. Ak profilový obrázok alebo verejný text odhaľuje viac informácií, ako je potrebné, ich rozsiahle zverejnenie sa stáva multiplikátor hrozieb pre súkromných aj profesionálnych používateľov.

Pre európske organizácie a administratívy s bezpečnostnými povinnosťami, Obmedzenie viditeľnosti údajov a posilnenie interných overovacích postupov mimo aplikácie pomáha zmenšiť útočnú plochu predstierania identity alebo podvodných kampaní.

Čo môžete urobiť hneď teraz

V prípade absencie alternatívneho identifikátora, Najlepšia obrana pre používateľa zahŕňa upraviť možnosti súkromie profilu a osvojiť si obozretné návyky pri posielaní správ.

• Obmedziť profilový obrázok a informácie na „Moje kontakty“ alebo „Nikto“.
• Vyhnite sa zahrnutiu citlivých údajov alebo osobných odkazov do textu statusu..
• Dávajte si pozor na neočakávané správy, aj keď sa v nich zobrazuje vaše meno alebo fotografia.
• Overte všetky urgentné alebo platobné žiadosti prostredníctvom sekundárneho kanála.

Hoci konkrétna cesta pre hromadné sčítanie bola uzavretá, táto epizóda dôkazy o tom, že kombinácia verejných identifikátorov a malých prehliadok v kontrolách môže viesť k obrovským rizikámMinimalizácia toho, čo ostatní vidia o vašom účte, obmedzuje vplyv budúcich techník zberu údajov.

Rakúsky výskum ukázal, že Bežná funkcia by sa mohla využiť v priemyselnom meradle na overenie miliárd čísel a priradenie viditeľných profilov k nim.Meta sprísnila limity a tvrdí, že neexistujú žiadne dôkazy o zneužívaní, ale riziká sociálneho inžinierstvaZistenia v krajinách so zákazmi a pretrvávajúcimi údajmi zdôrazňujú potrebu prehodnotiť dizajn založený na telefónnych číslach a podporiť prísnejšie návyky ochrany súkromia medzi európskymi používateľmi.