WhatsApp: En brist möjliggjorde extraktion av 3.500 miljarder nummer och profildata.

En akademisk undersökning har satt fokus på säkerhetsbrist i kontaktupptäcktssystemet WhatsApp, som, när det utnyttjas i stor skala, Det möjliggjorde verifiering av telefonnummer och masskoppling av profildata till dem.Fyndet beskriver hur en rutinmässig appprocess kan bli, om den upprepas i industriell takt, en källa till informationsexponering.

Studien, som leddes av ett team från Wiens universitet, visade att det var möjligt att kontrollera förekomsten av konton för miljarder talkombinationer via webbversionen, utan effektiva blockeringar i månader. Enligt författarna skulle vi tala om att om den processen inte hade utförts ansvarsfullt en av de största dataexponeringarna som någonsin dokumenterats.

Hur gapet uppstod: massuppräkning

Problemet handlade inte om att bryta krypteringen, utan om en konceptuell svaghet: den kontaktsökverktyg av tjänsten. WhatsApp låter användare kontrollera om ett telefonnummer är registrerat; att upprepa denna kontroll automatiskt och i stor skala har öppnat dörren för global spårning.

De österrikiska forskarna använde webbgränssnittet för att kontinuerligt testa siffror och nådde en ungefärlig hastighet på 100 miljoner kontroller per timme utan några effektiva hastighetsbegränsningar under den analyserade perioden. Den volymen möjliggjorde en exempellös utvinning.

Resultatet av experimentet var avgörande: de kunde erhålla telefonnummer från 3.500 miljarder konton av WhatsApp. Dessutom kunde de koppla samman offentligt tillgängliga profildata för en betydande del av urvalet.

Mer specifikt noterade teamet att Profilbilder besöktes i 57 % av fallen, och offentliga statusmeddelanden eller ytterligare information i 29 %.Även om dessa fält beror på varje användares konfiguration, förstärker deras exponering i stor skala risken.

• 3.500 miljarder nummer verifierade som registrerade på WhatsApp.
• 57 % med en offentligt tillgänglig profilbild.
• 29 % med sökbar profiltext.

Tidigare varningar som inte beaktades i tid

Svagheten med uppräkning var inte helt ny: redan 2017, den holländska forskaren Loran Kloeze Han varnade för att det var möjligt att automatisera kontrollen av siffror och koppla dem till synliga data.Den varningen förebådade den rådande situationen.

Wiens senaste arbete tog den idén till det yttersta och visade att beroende av telefonnumret som en unik identifierare är fortfarande problematiskSom författarna påpekar, siffrorna De är inte utformade för att fungera som hemliga inloggningsuppgifterMen i praktiken fyller de den rollen inom många tjänster.

En annan relevant slutsats av studien är att mycket av den personliga informationen behåller sitt värde över tid: Teamet fann att 58 % av telefonerna som avslöjades i Facebook-läckan 2021 De är fortfarande aktiva på WhatsApp idag., vilket underlättar korrelationer och ihållande kampanjer.

Förutom siffrorna, Masssökningsprocessen gjorde det möjligt att härleda vissa tekniska metadata, som typ av klient eller operativsystem anställd och närvaron av skrivbordsversioner, vilket ger mer yta för profilering.

Metas svar: hastighetsbegränsningar och officiell hållning

Forskarna De rapporterade fyndet till Meta i april och raderade den genererade databasen efter att ha validerat den.Företaget, å sin sida, implementerade det i oktober strängare åtgärder för att begränsa hastigheten för att blockera storskalig uppräkning via webben.

I uttalanden som skickades till specialiserade medier uttryckte Meta tacksamhet för meddelandet genom sitt program av belöningar för misslyckanden Han betonade att informationen som visades var vad varje användare hade konfigurerat som synlig. Han uppgav också att han inte hade funnit några bevis för illvilligt missbruk av denna metod.

Företaget insisterade på att meddelandena förblev skyddade på grund av end-to-end-kryptering och det faktum att ingen icke-offentlig data nåddes. Det fanns inga tecken på att kryptografiska systemet hade brutits.

Efter flera tekniska möten belönade WhatsApp forskningen med US-dollar 17.500För teamet tjänade processen till att mäta och testa effektiviteten hos de nya försvar som infördes efter anmälan.

Verkliga risker: från bedrägerier till målgruppsanpassning i länder med förbud

Utöver de tekniska aspekterna är den huvudsakliga effekten av denna exponering praktisk. Med ett telefonnummer och profilinformation synlig blir det mycket enklare. bygga sociala ingenjörskampanjer och riktade bedrägerier som utnyttjar varje offers kontextuella information.

Forskarna identifierade också miljontals aktiva konton i områden där WhatsApp är förbjudet, såsom Kina, Iran eller MyanmarSynligheten av dessa nummer kan få personliga eller rättsliga konsekvenser för användare i sammanhang med hög övervakning.

Den massiva tillgången på giltiga telefoner ökar spam, doxing och nätfiske med en högre grad av noggrannhet, särskilt när profilbilden eller den offentliga texten ger ledtrådar om identitet, anställning eller länkade sociala nätverk.

Det är värt att komma ihåg att information, när den väl läggs till enorma databaser, kan cirkulera i åratal och kombineras med andra läckor för att berika profiler och öka attackernas effektivitet.

Europa och Spanien: varför det är viktigt här

I Spanien och resten av EU, där WhatsApp är allestädes närvarande, är exponeringen av information i denna skala oroad över dess potentiella inverkan på miljontals användare och företagÄven om Meta korrigerade uppräkningsmetoden, återupptar händelsen debatten om en design som förlitar sig på telefonnumret.

Fallet, som involverar ett europeiskt universitetsteam, fungerar som en påminnelse om att även funktioner utformade för bekvämlighet – som att hitta kontakter direkt – De kan bli riskbärare om de inte har solida och kontinuerligt verifierade försvar..

Det belyser också behovet av att noggrant konfigurera sekretessinställningar. Om profilbilden eller den offentliga texten avslöjar mer information än nödvändigt blir dess utbredda exponering en hotmultiplikator för privata och professionella användare.

För europeiska organisationer och förvaltningar med säkerhetsskyldigheter, Att begränsa datasynligheten och stärka interna verifieringsrutiner utanför appen hjälper till att minska anfallsytan av personifierings- eller bedrägerikampanjer.

Vad du kan göra just nu

I avsaknad av en alternativ identifierare, Det bästa försvaret för användaren är att justera alternativen profilsekretess och anamma kloka meddelandevanor.

• Begränsa profilbild och information till "Mina kontakter" eller "Ingen".
• Undvik att inkludera känsliga uppgifter eller personliga länkar i din statustext..
• Var försiktig med oväntade meddelanden, även om de visar ditt namn eller foto.
• Verifiera alla brådskande eller betalningsförfrågningar via en sekundär kanal.

Även om den specifika vägen för massuppräkning har stängts, den här episoden bevis för att kombinationen av offentliga identifierare och små förbiseenden i kontroller kan leda till enorma exponeringarAtt minimera vad andra kan se av ditt konto begränsar effekten av framtida skördetekniker.

Österrikisk forskning visade att En gemensam funktion skulle kunna utnyttjas i industriell skala för att validera miljarder siffror och koppla synliga profiler till dem.Meta har skärpt gränserna och hävdar att det inte finns några bevis för missbruk, men social ingenjörskonstriskerResultaten i länder med förbud och datapersistens belyser behovet av att se över telefonnummerbaserad design och att uppmuntra strängare integritetsvanor bland europeiska användare.