WhatsApp: Isang depekto ang nagbigay-daan sa pagkuha ng 3.500 bilyong numero at data ng profile.

Ang isang akademikong pagsisiyasat ay naglagay ng spotlight kakulangan sa seguridad sa sistema ng pagtuklas ng contact WhatsApp, na, kapag pinagsamantalahan sa malaking sukat, Pinapayagan nito ang pag-verify ng mga numero ng telepono at ang mass association ng data ng profile sa kanila.Inilalarawan ng paghahanap kung paano maaaring maging mapagkukunan ng pagkakalantad ng impormasyon ang isang nakagawiang proseso ng app, kung paulit-ulit sa bilis ng industriya.

Ang pag-aaral, na pinangunahan ng isang koponan mula sa Unibersidad ng Vienna, ay nagpakita na posibleng suriin ang pagkakaroon ng mga account para sa bilyun-bilyong kumbinasyon ng mga numero sa pamamagitan ng bersyon ng web, nang walang epektibong mga bloke sa loob ng ilang buwan. Ayon sa mga may-akda, kung ang prosesong iyon ay hindi naisagawa nang responsable, pag-uusapan natin isa sa pinakamalaking pagkakalantad ng data na naitala kailanman.

Paano nagkaroon ng gap: mass enumeration

Ang problema ay hindi tungkol sa pagsira sa encryption, ngunit tungkol sa isang haka-haka na kahinaan: ang tool sa paghahanap ng contact ng serbisyo. Pinapayagan ng WhatsApp ang mga user na suriin kung nakarehistro ang isang numero ng telepono; ang pag-uulit ng pagsusuring ito nang awtomatiko at sa malaking sukat ay nagbukas ng pinto sa pandaigdigang pagsubaybay.

Ginamit ng mga mananaliksik ng Austrian ang web interface upang patuloy na subukan ang mga numero, na umaabot isang tinatayang rate na 100 milyong tseke kada oras nang walang anumang epektibong limitasyon sa bilis sa panahon ng pagsusuri. Dahil sa volume na iyon, posible ang hindi pa nagagawang pagkuha.

Ang resulta ng eksperimento ay kapani-paniwala: nakuha nila ang mga numero ng telepono mula sa 3.500 bilyong account mula sa WhatsApp. Bilang karagdagan, nagawa nilang iugnay ang data ng profile na available sa publiko para sa malaking bahagi ng sample na iyon.

Sa partikular, nabanggit iyon ng koponan Ang mga larawan sa profile ay na-access sa 57% ng mga kaso, at ang mga teksto ng pampublikong katayuan o karagdagang impormasyon sa 29%.Bagama't ang mga field na ito ay nakadepende sa configuration ng bawat user, ang kanilang exposure sa sukat ay nagpapalaki sa panganib.

• 3.500 bilyong numero ang na-verify bilang nakarehistro sa WhatsApp.
• 57% na may larawan sa profile na naa-access ng publiko.
• 29% na may nahahanap na teksto ng profile.

Mga naunang babala na hindi nakinig sa oras

Ang kahinaan ng enumeration ay hindi ganap na bago: nasa 2017 na, ang Dutch researcher Loran Kloeze Nagbabala siya na posibleng i-automate ang pagsuri ng mga numero at iugnay ang mga ito sa nakikitang data.Ang babalang iyon ay naglalarawan sa kasalukuyang sitwasyon.

Ang kamakailang trabaho ni Vienna ay nagdulot ng ideyang iyon sa sukdulan at ipinakita iyon pagdepende sa numero ng telepono bilang isang natatanging identifier ay nananatiling may problemaTulad ng itinuturo ng mga may-akda, ang mga numero Ang mga ito ay hindi idinisenyo upang kumilos bilang mga lihim na kredensyalNgunit sa pagsasagawa, ginagampanan nila ang tungkuling iyon sa maraming serbisyo.

Ang isa pang nauugnay na konklusyon ng pag-aaral ay ang karamihan sa personal na impormasyon ay nagpapanatili ng halaga nito sa paglipas ng panahon: Nalaman ng team na 58% ng mga teleponong nalantad sa 2021 Facebook leak Aktibo pa rin sila sa WhatsApp ngayon., na nagpapadali sa mga ugnayan at patuloy na kampanya.

Bukod sa mga numero, Ang proseso ng mass query ay nagpapahintulot sa ilang teknikal na metadata na mahinuha, tulad ng uri ng kliyente o operating system empleyado at ang pagkakaroon ng mga desktop na bersyon, na nagdaragdag ng surface area para sa pag-profile.

Ang tugon ni Meta: mga limitasyon ng bilis at opisyal na paninindigan

Ang mga mananaliksik Iniulat nila ang paghahanap sa Meta noong Abril at tinanggal ang nabuong database pagkatapos itong ma-validate.Ang kumpanya, sa bahagi nito, ay ipinatupad ito noong Oktubre mas mahigpit na mga hakbang sa paglilimita sa rate upang harangan ang malakihang enumeration sa pamamagitan ng web.

Sa mga pahayag na ipinadala sa mga dalubhasang media outlet, ang Meta ay nagpahayag ng pasasalamat para sa abiso sa pamamagitan ng programa nito ng mga gantimpala sa kabiguan Binigyang-diin niya na ang impormasyong ipinapakita ay kung ano ang na-configure ng bawat user bilang nakikita. Sinabi rin niya na wala siyang nakitang ebidensya ng malisyosong pang-aabuso sa pamamaraang ito.

Iginiit ng kumpanya na ang nanatiling protektado ang mga mensahe dahil sa end-to-end na pag-encrypt at sa katotohanang walang na-access na hindi pampublikong data. Walang indikasyon na nasira ang cryptographic system.

Pagkatapos ng ilang teknikal na pagpupulong, ginantimpalaan ng WhatsApp ang pananaliksik $17.500Para sa koponan, ang proseso ay nagsilbi upang sukatin at subukan ang pagiging epektibo ng mga bagong depensa na ipinakalat pagkatapos ng abiso.

Mga totoong panganib: mula sa panloloko hanggang sa pag-target sa mga bansang may mga pagbabawal

Higit pa sa mga teknikal na aspeto, praktikal ang pangunahing epekto ng pagkakalantad na ito. Sa nakikitang numero ng telepono at impormasyon ng profile, nagiging mas madali ito. bumuo ng mga kampanya sa social engineering at mga target na scam na nagsasamantala sa kontekstwal na impormasyon ng bawat biktima.

Natukoy din ng mga mananaliksik ang milyun-milyong aktibong account sa mga teritoryo kung saan pinagbawalan ang WhatsApp, gaya ng China, Iran, o MyanmarAng visibility ng mga numerong ito ay maaaring magkaroon ng personal o legal na mga kahihinatnan para sa mga user sa mga kontekstong mataas ang surveillance.

Ang napakalaking kakayahang magamit ng mga wastong telepono ay nagpapahusay sa spam, doxxing at phishing na may mas mataas na antas ng katumpakan, lalo na kapag ang larawan sa profile o pampublikong teksto ay nagbibigay ng mga pahiwatig tungkol sa pagkakakilanlan, trabaho, o naka-link na mga social network.

Ito ay nagkakahalaga ng pag-alala na, kapag naidagdag sa malalaking database, ang impormasyon ay maaaring magpalipat-lipat sa loob ng maraming taon, kasama ng iba pang mga pagtagas sa pagyamanin ang mga profile at dagdagan ang pagiging epektibo ng mga pag-atake.

Europe at Spain: bakit ito mahalaga dito

Sa Spain at sa natitirang bahagi ng EU, kung saan ang WhatsApp ay nasa lahat ng dako, ang pagkakalantad ng impormasyon sa sukat na ito nag-aalala tungkol sa posibleng epekto nito sa milyon-milyong mga gumagamit at negosyoBagama't itinuwid ng Meta ang paraan ng enumeration, muling binubuksan ng insidente ang debate tungkol sa isang disenyo na umaasa sa numero ng telepono.

Ang kaso, na kinasasangkutan ng isang European university team, ay nagsisilbing paalala na kahit na ang mga feature na idinisenyo para sa kaginhawahan—tulad ng paghahanap ng mga contact kaagad— Maaari silang maging mga vector ng panganib kung wala silang solid at patuloy na na-verify na mga depensa.

Itinatampok din nito ang pangangailangang maingat na i-configure ang mga setting ng privacy. Kung ang larawan sa profile o pampublikong teksto ay nagpapakita ng higit pang impormasyon kaysa kinakailangan, ang malawakang pagkakalantad nito ay nagiging a pagbabanta multiplier para sa pribado at propesyonal na mga gumagamit.

Para sa mga organisasyon at administrasyong European na may mga obligasyon sa seguridad, Nakakatulong ang paglilimita sa visibility ng data at pagpapalakas ng mga internal na pamamaraan ng pag-verify sa labas ng app reducir la superficie de ataque ng mga kampanyang pagpapanggap o pandaraya.

Ano ang maaari mong gawin ngayon

Sa kawalan ng alternatibong identifier, Ang pinakamahusay na pagtatanggol para sa gumagamit ay nagsasangkot ayusin ang mga pagpipilian privacy ng profile at magpatibay ng maingat na gawi sa pagmemensahe.

• Limitahan ang larawan sa profile at impormasyon sa "Aking mga contact" o "Walang sinuman".
• Iwasang magsama ng sensitibong data o mga personal na link sa iyong status text..
• Mag-ingat sa mga hindi inaasahang mensahe, kahit na ipakita nila ang iyong pangalan o larawan.
• I-verify ang anumang agaran o mga kahilingan sa pagbabayad sa pamamagitan ng pangalawang channel.

Bagama't sarado na ang partikular na paraan para sa mass enumeration, ang episode na ito katibayan na ang kumbinasyon ng mga pampublikong identifier at maliliit na oversight sa mga kontrol ay maaaring humantong sa napakalaking exposureAng pagpapanatili sa kung ano ang nakikita ng iba sa iyong account sa pinakamababa ay naglilimita sa epekto ng mga diskarte sa pag-aani sa hinaharap.

Ipinakita iyon ng pananaliksik ng Austrian Ang isang karaniwang function ay maaaring pinagsamantalahan sa isang pang-industriya na sukat upang patunayan ang bilyun-bilyong numero at iugnay ang mga nakikitang profile sa kanila.Hinigpitan ng Meta ang mga limitasyon at pinaninindigan na walang ebidensya ng pang-aabuso, ngunit ang mga panganib sa social engineeringAng mga natuklasan sa mga bansang may mga pagbabawal at pagtitiyaga ng data ay nagpapakita ng pangangailangan na suriin ang disenyong nakabatay sa numero ng telepono at upang hikayatin ang mas mahigpit na mga gawi sa privacy sa mga European user.