WhatsApp: Грешка је омогућила издвајање 3.500 милијарди бројева и података профила.

Академска истрага је ставила у центар пажње безбедносна грешка у систему за откривање контаката WhatsApp, који, када се експлоатише у великим размерама, Омогућило је верификацију телефонских бројева и масовно повезивање података профила са њима.Ово откриће описује како рутински процес апликације може постати, ако се понавља индустријским темпом, извор изложености информацијама.

Студија, коју је водио тим са Универзитета у Бечу, показала је да је могуће проверити постојање рачуна за милијарде комбинација бројева путем веб верзије, без ефикасних блокада месецима. Према речима аутора, да тај процес није спроведен одговорно, говорили бисмо о једно од највећих икада документованих излагања података.

Како се јаз материјализовао: масовно пописивање

Проблем није био у кршењу енкрипције, већ у концептуалној слабости: алат за претрагу контаката услуге. WhatsApp омогућава корисницима да провере да ли је број телефона регистрован; аутоматско понављање ове провере у великим размерама отворило је врата глобалном праћењу.

Аустријски истраживачи су користили веб интерфејс за континуирано тестирање бројева, достижући приближна брзина од 100 милиона провера на сат без икаквих ефективних ограничења брзине током анализираног периода. Та запремина је омогућила невиђену екстракцију.

Резултат експеримента је био убедљив: успели су да добију бројеви телефона са 3.500 милијарди налога ВхатсАпп. Поред тога, могли су да повежу јавно доступне податке профила за значајан део тог узорка.

Конкретно, тим је приметио да Слике профила су прегледане у 57% случајева, а јавни статуси или додатне информације у 29%.Иако ова поља зависе од конфигурације сваког корисника, њихова изложеност у великим размерама повећава ризик.

• 3.500 милијарди бројева је верификовано као регистровано на WhatsApp-у.
• 57% са јавно доступном профилном сликом.
• 29% са претраживим текстом профила.

Претходна упозорења која нису благовремено уважена

Слабост набрајања није била сасвим нова: већ 2017. године, холандски истраживач Лоран Клоез Упозорио је да је могуће аутоматизовати проверу бројева и повезати их са видљивим подацима.То упозорење је наговестило тренутну ситуацију.

Бечев недавни рад је ту идеју довео до крајњих граница и показао је да зависност од телефонског броја као јединствени идентификатор остаје проблематичанКако аутори истичу, бројеви Нису дизајнирани да служе као тајни акредитивиАли у пракси они испуњавају ту улогу у многим службама.

Још један релевантан закључак студије је да велики део личних података задржава своју вредност током времена: Тим је открио да је 58% телефона откривено током цурења информација са Фејсбука 2021. године И данас су активни на WhatsApp-у., што олакшава корелације и упорне кампање.

Поред бројева, Процес масовног упита је омогућио закључивање одређених техничких метаподатакаКао тип клијента или оперативног система запосленог и присуство десктоп верзија, што додаје површину за профилисање.

Метин одговор: ограничења брзине и званични став

Истражитељи Пријавили су налаз Мети у априлу и обрисали генерисану базу података након што су је валидирали.Компанија је, са своје стране, то имплементирала у октобру строже мере ограничавања стопа да блокирају пописивање великих размера путем веба.

У саопштењима послатим специјализованим медијима, Мета је изразила захвалност на обавештењу путем свог програма награде за неуспех Нагласио је да су приказане информације оно што је сваки корисник конфигурисао као видљиво. Такође је изјавио да није пронашао доказе о злонамерној злоупотреби ове методе.

Компанија је инсистирала да поруке су остале заштићене због енкрипције од краја до краја и чињенице да није приступљено подацима који нису јавни. Није било назнака да је криптографски систем био пробијен.

Након неколико техничких састанака, WhatsApp је наградио истраживање са Амерички долар КСНУМКСЗа тим, процес је служио за мерење и тестирање ефикасности нових одбрамбених мера распоређених након обавештења.

Прави ризици: од преваре до циљања у земљама са забранама

Поред техничких аспеката, главни утицај ове изложености је практичан. Са видљивим бројем телефона и информацијама о профилу, све постаје много лакше. креирајте кампање социјалног инжењеринга и циљане преваре које искоришћавају контекстуалне информације сваке жртве.

Истраживачи су такође идентификовали милионе активних налога на територијама где је WhatsApp забрањен, као што су Кина, Иран или МјанмарВидљивост ових бројева могла би имати личне или правне последице за кориснике у контекстима високог надзора.

Масовна доступност важећих телефона побољшава спам, доксинг и фишинг са већим нивоом тачности, посебно када слика профила или јавни текст пружају назнаке о идентитету, запослењу или повезаним друштвеним мрежама.

Вреди запамтити да, када се једном додају у огромне базе података, информације могу кружити годинама, комбинујући се са другим цурењима информација... обогаћивање профила и повећати ефикасност напада.

Европа и Шпанија: зашто је то овде важно

У Шпанији и остатку ЕУ, где је WhatsApp свеприсутан, изложеност информацијама у овим размерама забринут због његовог потенцијалног утицаја на милиони корисника и предузећаИако је Мета исправио метод набрајања, инцидент поново отвара дебату о дизајну који се ослања на број телефона.

Случај, у који је укључен тим европског универзитета, служи као подсетник да чак и функције дизајниране за практичност – попут тренутног проналажења контаката – Могу постати вектори ризика ако немају чврсту и континуирано проверену одбрану.

Такође истиче потребу за пажљивим конфигурисањем подешавања приватности. Ако слика профила или јавни текст откривају више информација него што је потребно, њихова широка изложеност постаје мултипликатор претње за приватне и професионалне кориснике.

За европске организације и администрације са безбедносним обавезама, Ограничавање видљивости података и јачање интерних процедура верификације ван апликације помаже да се смањити површину напада лажног представљања или преварних кампања.

Шта можете да урадите одмах

У одсуству алтернативног идентификатора, Најбоља одбрана за корисника укључује прилагоди опције приватност профила и усвојте разумне навике у слању порука.

• Ограничите слику профила и информације на „Моји контакти“ или „Нико“.
• Избегавајте укључивање осетљивих података или личних линкова у текст статуса..
• Будите опрезни са неочекиваним порукама, чак и ако приказују ваше име или фотографију.
• Проверите све хитне захтеве или захтеве за плаћање путем секундарног канала.

Иако је конкретан пут за масовно пописивање затворен, ова епизода докази да комбинација јавних идентификатора и малих пропуста у контролама може довести до огромних изложеностиСмањивање онога што други могу да виде са вашег налога ограничава утицај будућих техника сакупљања података.

Аустријско истраживање је показало да Уобичајена функција би се могла искористити на индустријској скали за валидацију милијарди бројева и повезивање видљивих профила са њима.Мета је пооштрила ограничења и тврди да нема доказа о злоупотреби, али ризици социјалног инжењерингаРезултати истраживања у земљама са забранама и постојаношћу података истичу потребу за преиспитивањем дизајна заснованог на телефонским бројевима и подстицањем строжих навика приватности међу европским корисницима.