WhatsApp: Bir güvenlik açığı, 3.500 milyar numara ve profil verisinin çıkarılmasına olanak sağladı.

Akademik bir araştırma, konuya ışık tuttu temas keşif sistemindeki güvenlik açığı WhatsApp, büyük ölçekte istismar edildiğinde, Telefon numaralarının doğrulanmasına ve profil verilerinin bunlarla toplu olarak ilişkilendirilmesine olanak sağladı.Bulgular, rutin bir uygulama sürecinin endüstriyel bir hızda tekrarlandığında nasıl bir bilgi edinme kaynağına dönüşebileceğini açıklıyor.

Viyana Üniversitesi'nden bir ekip tarafından yürütülen çalışma, hesapların varlığının kontrol edilebileceğini gösterdi. milyarlarca sayı kombinasyonu Web sürümü üzerinden, aylarca etkili engellemeler olmadan. Yazarlara göre, bu süreç sorumlu bir şekilde yürütülmeseydi, şu anda şimdiye kadar belgelenen en büyük veri ifşalarından biri.

Boşluk nasıl ortaya çıktı: toplu sayım

Sorun şifrelemeyi kırmakla ilgili değildi, kavramsal bir zayıflıkla ilgiliydi: iletişim arama aracı Hizmetin. WhatsApp, kullanıcıların bir telefon numarasının kayıtlı olup olmadığını kontrol etmelerine olanak tanıyor; bu kontrolün otomatik olarak ve geniş çapta tekrarlanması, küresel izleme kapısını açtı.

Avusturyalı araştırmacılar, sayıları sürekli olarak test etmek için web arayüzünü kullandılar ve saatte yaklaşık 100 milyon çek oranı Analiz edilen dönemde herhangi bir etkili hız sınırı olmaksızın. Bu hacim, benzeri görülmemiş bir çıkarımı mümkün kıldı.

Deneyin sonucu kesindi: Şunu elde edebildiler: 3.500 milyar hesaptan telefon numaraları WhatsApp'tan. Ayrıca, söz konusu örneklemin önemli bir kısmına ait kamuya açık profil verilerini ilişkilendirebildiler.

Ekip özellikle şunu kaydetti: Profil fotoğraflarına erişim oranı %57 iken, kamuya açık durum metinlerine veya ek bilgilere erişim oranı %29 oldu.Bu alanlar her kullanıcının yapılandırmasına bağlı olsa da, büyük ölçekte maruz kalmaları riski artırır.

• WhatsApp'ta kayıtlı olduğu doğrulanan numara sayısı 3.500 milyara ulaştı.
• %57'si ise herkesin erişebildiği bir profil resmine sahip.
• %29'u aranabilir profil metnine sahip.

Zamanında dikkate alınmayan önceki uyarılar

Sayımdaki zayıflık tamamen yeni değildi: zaten 2017'teHollandalı araştırmacı Loran Kloeze Sayıların kontrol edilmesinin ve bunların görünür verilerle ilişkilendirilmesinin otomatikleştirilebileceği konusunda uyardı.Bu uyarı, bugün yaşanacak durumun habercisiydi.

Viyana'nın son çalışması bu fikri aşırıya götürdü ve gösterdi ki telefon numarasına bağımlılık benzersiz bir tanımlayıcı olarak sorunlu olmaya devam ediyorYazarların belirttiği gibi, sayılar Bunlar gizli kimlik bilgileri olarak kullanılmak üzere tasarlanmamıştırAma pratikte bu rolü pek çok hizmette yerine getiriyorlar.

Çalışmanın bir diğer önemli sonucu ise kişisel bilgilerin büyük bir kısmının zaman içinde değerini koruduğudur: Ekip, 2021 Facebook sızıntısında ifşa olan telefonların %58'inin Bugün hala WhatsApp'ta aktifler.korelasyonları ve kalıcı kampanyaları kolaylaştıran.

Sayıların yanı sıra, Toplu sorgu süreci, belirli teknik meta verilerin çıkarılmasına izin verdi, gibi istemci veya işletim sistemi türü Çalışan ve masaüstü sürümlerinin varlığı, profilleme için yüzey alanı ekler.

Meta'nın yanıtı: hız sınırları ve resmi duruş

Araştırmacılar Bulguları Nisan ayında Meta'ya bildirdiler ve doğruladıktan sonra oluşturulan veritabanını sildiler.Şirket ise bunu Ekim ayında uygulamaya koydu daha sıkı oran sınırlama önlemleri web üzerinden büyük çaplı sayım yapılmasını engellemek.

Meta, uzman medya kuruluşlarına gönderdiği açıklamalarda, programı aracılığıyla yapılan bildirimden duyduğu memnuniyeti dile getirdi. başarısızlık ödülleri Görüntülenen bilgilerin, her kullanıcının görünür olarak yapılandırdığı bilgiler olduğunu vurguladı. Ayrıca, bu yöntemin kötü niyetli bir şekilde kötüye kullanıldığına dair herhangi bir kanıt bulamadığını da belirtti.

Şirket, şunun üzerinde ısrar etti: mesajlar korundu Uçtan uca şifreleme ve kamuya açık olmayan hiçbir veriye erişilmemesi nedeniyle, şifreleme sisteminin kırıldığına dair bir belirti yoktu.

Birkaç teknik toplantının ardından WhatsApp, araştırmayı şu şekilde ödüllendirdi: 17.500 dolarEkip açısından bu süreç, bildirimden sonra devreye alınan yeni savunmaların etkinliğini ölçmek ve test etmek amacıyla gerçekleştirildi.

Gerçek riskler: dolandırıcılıktan yasaklı ülkelerde hedef alınmaya kadar

Teknik yönlerin ötesinde, bu tanıtımın asıl etkisi pratiktir. Telefon numarası ve profil bilgilerinin görünür olması, işi çok daha kolay hale getirir. sosyal mühendislik kampanyaları oluşturun ve her kurbanın bağlamsal bilgilerini istismar eden hedefli dolandırıcılıklar.

Araştırmacılar ayrıca WhatsApp'ın yasak olduğu bölgelerde milyonlarca aktif hesap tespit etti, örneğin: Çin, İran veya MyanmarBu sayıların görünürlüğü, yüksek gözetim bağlamlarında kullanıcılar için kişisel veya hukuki sonuçlar doğurabilir.

Geçerli telefonların büyük miktarda bulunması, spam, doxxing ve kimlik avı Özellikle profil resmi veya kamusal metin kimlik, istihdam veya bağlantılı sosyal ağlar hakkında ipuçları sağladığında daha yüksek bir doğruluk düzeyiyle.

Büyük veri tabanlarına eklendiğinde, bilgilerin diğer sızıntılarla birleşerek yıllarca dolaşımda kalabileceğini unutmamak gerekir. zenginleştirilmiş profiller ve saldırıların etkinliğini artırmak.

Avrupa ve İspanya: Burada neden önemli?

WhatsApp'ın her yerde mevcut olduğu İspanya ve AB'nin geri kalanında, bu ölçekte bilginin ifşa edilmesi üzerindeki potansiyel etkisi konusunda endişeli milyonlarca kullanıcı ve işletmeMeta numaralandırma yöntemini düzeltse de olay, telefon numarasına dayalı bir tasarıma ilişkin tartışmayı yeniden gündeme getirdi.

Avrupa'daki bir üniversite ekibini ilgilendiren dava, kolaylık sağlamak için tasarlanmış özelliklerin (örneğin, kişileri anında bulmak gibi) bile işe yaramadığını hatırlatıyor. Sağlam ve sürekli olarak doğrulanmış savunmaları yoksa risk vektörleri haline gelebilirler.

Ayrıca gizlilik ayarlarının dikkatlice yapılandırılması gerektiğini de vurguluyor. Profil resmi veya herkese açık metin, gerekenden fazla bilgi içeriyorsa, yaygın olarak görünür hale gelir. tehdit çarpanı özel ve profesyonel kullanıcılar için.

Güvenlik yükümlülükleri bulunan Avrupa kuruluşları ve idareleri için, Veri görünürlüğünü sınırlamak ve uygulama dışındaki dahili doğrulama prosedürlerini güçlendirmek, saldırı yüzeyini azaltmak Sahtecilik veya dolandırıcılık kampanyaları.

Şu anda yapabilecekleriniz

Alternatif bir tanımlayıcının bulunmaması durumunda, Kullanıcı için en iyi savunma şunları içerir: seçenekleri ayarlayın profil gizliliği ve ihtiyatlı mesajlaşma alışkanlıkları edinin.

• Profil resmini ve bilgilerini "Kişilerim" veya "Hiç kimse" olarak sınırla.
• Durum metninize hassas veriler veya kişisel bağlantılar eklemekten kaçının..
• Adınız veya fotoğrafınız görünse bile beklenmedik mesajlara karşı dikkatli olun.
• Acil veya ödeme taleplerini ikincil bir kanal aracılığıyla doğrulayın.

Toplu sayım için özel yol kapatılmış olsa da, bu bölüm kamu tanımlayıcılarının ve kontrollerdeki küçük ihmallerin birleşiminin muazzam ifşalara yol açabileceğine dair kanıtlarHesabınızda başkalarının görebileceği şeyleri minimumda tutmak, gelecekteki hasat tekniklerinin etkisini sınırlar.

Avusturya araştırması şunu gösterdi: Endüstriyel ölçekte milyarlarca sayıyı doğrulamak ve görünür profilleri bunlarla ilişkilendirmek için ortak bir işlevden yararlanılabilir.Meta sınırları sıkılaştırdı ve istismara dair hiçbir kanıt olmadığını iddia ediyor, ancak sosyal mühendislik riskleriYasakların ve veri kalıcılığının olduğu ülkelerdeki bulgular, telefon numarasına dayalı tasarımın gözden geçirilmesi ve Avrupa kullanıcıları arasında daha sıkı gizlilik alışkanlıklarının teşvik edilmesi ihtiyacını vurguluyor.