WhatsApp: Cacat ngamungkinkeun ékstraksi 3.500 milyar nomer sareng data profil.

Hiji panalungtikan akademik geus nempatkeun sorotan on cacad kaamanan dina sistem kapanggihna kontak WhatsApp, anu, nalika dieksploitasi dina skala ageung, Diidinan pikeun verifikasi nomer telepon sareng asosiasi massa data profil sareng aranjeunna.Pananjung ngajelaskeun kumaha prosés aplikasi rutin tiasa janten, upami diulang dina laju industri, sumber paparan inpormasi.

Panalitian, dipingpin ku tim ti Universitas Wina, nunjukkeun yén mungkin pikeun pariksa ayana akun pikeun milyaran kombinasi angka ngaliwatan versi web, tanpa blok éféktif pikeun bulan. Numutkeun panulis, upami prosés éta henteu dilaksanakeun kalayan tanggung jawab, urang bakal ngobrolkeun salah sahiji eksposur data pangbadagna kantos documented.

Kumaha gap materialized: enumerasi massa

Masalahna sanés ngeunaan ngarobih enkripsi, tapi ngeunaan kalemahan konseptual: éta alat pilarian kontak tina jasa. WhatsApp ngamungkinkeun pamaké pikeun mariksa lamun nomer telepon kadaptar; ngulang cek ieu otomatis tur dina skala badag geus dibuka panto ka tracking global.

Panaliti Austria nganggo antarmuka wéb pikeun terus-terusan nguji nomer, ngahontal laju perkiraan 100 juta cék per jam tanpa wates laju anu épéktip salami periode dianalisis. Volume éta ngajantenkeun ékstraksi anu teu acan kantos aya.

Hasil tina percobaan éta ngayakinkeun: aranjeunna bisa ménta nomer telepon ti 3.500 miliar rekening tina WhatsApp. Salaku tambahan, aranjeunna tiasa ngahubungkeun data profil anu sayogi umum pikeun sabagian ageung tina sampel éta.

Husus, tim nyatet éta Gambar profil diaksés dina 57% kasus, sareng téks status umum atanapi inpormasi tambahan dina 29%.Sanajan widang ieu gumantung kana konfigurasi unggal pamaké, paparan maranéhanana dina skala amplifies resiko.

• 3.500 milyar nomer diverifikasi sakumaha didaptarkeun dina WhatsApp.
• 57% sareng gambar profil anu tiasa diaksés ku umum.
• 29% kalawan téks profil searchable.

Peringatan sateuacanna anu henteu ditingali dina waktosna

Kelemahan enumerasi henteu sagemblengna anyar: geus di 2017, panalungtik Walanda Loran Kloeze Anjeunna ngingetkeun yén éta mungkin pikeun ngajadikeun otomatis pamariksaan nomer sareng ngahubungkeunana sareng data anu katingali.Peringatan éta ngabayangkeun kaayaan ayeuna.

Karya panganyarna Wina nyandak gagasan éta ka ekstrim na némbongkeun éta gumantungna kana nomer telepon salaku identifier unik tetep masalahSalaku pangarang nunjuk kaluar, angka Aranjeunna teu dirancang meta salaku credentials rusiahTapi dina prakna aranjeunna ngalaksanakeun peran éta dina seueur jasa.

Kacindekan séjén anu relevan dina pangajaran nyaéta yén seueur inpormasi pribadi nahan nilaina dina waktosna: Tim éta mendakan yén 58% tina telepon anu kakeunaan dina bocor Facebook 2021 Aranjeunna masih aktip dina WhatsApp kiwari., nu facilitates correlations sarta kampanye pengkuh.

Salian ti angka, Prosés query massa diwenangkeun metadata teknis tangtu bisa disimpulkeun, sapertos tipe klien atawa sistem operasi pagawe sarta ayana versi desktop, nu nambihan aréa permukaan pikeun profil.

Tanggapan Meta: wates laju sareng pendirian resmi

Para panalungtik Aranjeunna ngalaporkeun Pananjung ka Meta dina April sarta ngahapus database dihasilkeun sanggeus validating eta.Pausahaan, pikeun bagian na, dilaksanakeun dina Oktober ukuran ngawatesan laju stricter pikeun meungpeuk enumerasi skala badag ngaliwatan web.

Dina pernyataan anu dikirim ka toko média khusus, Meta nyatakeun rasa syukur pikeun béwara ngaliwatan program na ganjaran kagagalan Anjeunna negeskeun yén inpormasi anu ditampilkeun nyaéta anu dikonpigurasikeun ku unggal pangguna anu katingali. Anjeunna ogé nyatakeun yén anjeunna henteu mendakan bukti panyalahgunaan cara ieu.

Pausahaan keukeuh yén pesen tetep ditangtayungan alatan enkripsi tungtung-to-tungtung jeung kanyataan yén teu aya data non-publik diaksés. Henteu aya indikasi yén sistem kriptografi parantos rusak.

Saatos sababaraha rapat téknis, WhatsApp ngaganjar panalungtikan $17.500Pikeun tim, prosésna dilayanan pikeun ngukur sareng nguji éféktivitas pertahanan anyar anu dikaluarkeun saatos béwara.

Résiko nyata: tina panipuan dugi ka nargétkeun di nagara anu ngalarang

Saluareun aspék téknis, dampak utama paparan ieu praktis. Kalayan nomer telepon sareng inpormasi profil anu katingali, janten langkung gampang. ngawangun kampanye rékayasa sosial jeung scams sasaran nu mangpaatkeun informasi kontekstual unggal korban.

Panaliti ogé ngaidentipikasi jutaan akun aktip di daérah dimana WhatsApp dilarang, sapertos Cina, Iran, atawa MyanmarVisibilitas angka ieu tiasa gaduh akibat pribadi atanapi hukum pikeun pangguna dina kontéks panjagaan anu luhur.

Kasadiaan masif ti telepon valid ngaronjatkeun spam, doxxing jeung phishing kalawan tingkat akurasi nu leuwih luhur, utamana lamun gambar profil atawa téks umum nyadiakeun clues ngeunaan identitas, pagawean, atawa jaringan sosial numbu.

Perlu diinget yén, sakali diasupkeun kana pangkalan data anu ageung, inpormasi tiasa ngiderkeun mangtaun-taun, digabungkeun sareng bocor anu sanés. enrich propil jeung ningkatkeun efektivitas serangan.

Éropa sareng Spanyol: naha éta penting di dieu

Di Spanyol sareng sésana EU, dimana WhatsApp aya dimana-mana, paparan inpormasi dina skala ieu prihatin ngeunaan dampak poténsial na jutaan pamaké sarta usahaSanajan Meta ngabenerkeun métode enumerasi, kajadian éta muka deui debat ngeunaan desain anu ngandelkeun nomer telepon.

Kasus éta, ngalibetkeun tim universitas Éropa, janten panginget yén bahkan fitur anu dirancang pikeun genah-sapertos milarian kontak langsung- Éta tiasa janten vektor résiko upami aranjeunna henteu gaduh pertahanan anu padet sareng diverifikasi terus-terusan.

Éta ogé nyorot kabutuhan pikeun ngonpigurasikeun setélan privasi sacara saksama. Lamun gambar profil atawa téks umum nembongkeun informasi leuwih ti diperlukeun, paparan nyebar na janten a anceman multiplier pikeun pamaké swasta sarta profésional.

Pikeun organisasi sareng administrasi Éropa anu ngagaduhan kawajiban kaamanan, Ngawatesan pisibilitas data sareng nguatkeun prosedur verifikasi internal di luar aplikasi ngabantosan ngurangan permukaan serangan kampanye impersonation atanapi panipuan.

Naon anu anjeun tiasa laksanakeun ayeuna?

Dina henteuna hiji identifier alternatif, Pertahanan pangalusna pikeun pamaké ngawengku nyaluyukeun pilihan privasi profil jeung ngadopsi kabiasaan olahtalatah prudent.

• Watesan gambar profil sareng inpormasi ka "Kontak abdi" atanapi "Taya saha".
• Hindarkeun kalebet data sénsitip atanapi tautan pribadi dina téks status anjeun..
• Waspada tina pesen anu teu disangka-sangka, sanaos aranjeunna nunjukkeun nami atanapi poto anjeun.
• Pariksa sagala pamundut urgent atawa mayar ngaliwatan saluran sekundér.

Sanajan avenue husus pikeun enumeration massa geus ditutup, episode ieu bukti yén kombinasi identifiers umum jeung oversights leutik dina kadali bisa ngakibatkeun paparan gede pisanNgajaga naon anu batur tiasa ningali tina akun anjeun ka minimum ngawatesan dampak téknik panén ka hareup.

panalungtikan Austria némbongkeun éta Fungsi umum tiasa dieksploitasi dina skala industri pikeun ngesahkeun milyaran angka sareng ngahubungkeun profil anu katingali sareng aranjeunna.Meta geus tightened wates jeung mertahankeun yén euweuh bukti nyiksa, tapi resiko rékayasa sosialPapanggihan di nagara-nagara anu larangan sareng kegigihan data nyorot kabutuhan pikeun marios desain dumasar-nomer telepon sareng nyorong kabiasaan privasi anu langkung ketat diantara pangguna Éropa.