Самая популярная в мире экосистема обмена сообщениями потерпела неудачу: уязвимость в системе обнаружения контактов WhatsApp позволила автоматически проверять, на каких телефонных номерах были активные аккаунты, что повлияло на 3.500 миллиарда записей в 245 странах.
Несмотря на то, сквозное шифрование Хотя данные не были скомпрометированы, это открытие демонстрирует, как метаданные могут раскрыть больше, чем кажется на первый взгляд. Материнская компания Meta ввела контрмеры и ужесточили «ограничение ставок» после того, как его предупредила следственная группа.
Что именно произошло?
Группа исследователей из Венского университета и Венского технического университета протестировала функцию обнаружения контактов, отправив огромные наборы автоматически сгенерированных номеров в API WhatsApp, подтверждая регистрации со скоростью до 7.000 запросов в секунду за сеанс.
Тесты проводились с одного IP-адреса и с пятью учетными записями без автоматической блокировки, что позволило объединить глобальную перепись пользователей, которая превысил публичные цифры исторически сообщалось службой.
Помимо бинарной проверки (есть/нет в WhatsApp), команда использовала дополнительные интерфейсы для получения неконфиденциальных данных аккаунта, всегда в пределах видимой информации, например временные метки, изображение профиля и технические индикаторы окружающей среды.
Какая информация была раскрыта?
Следствие не получило доступа к сообщениям или личному контенту, но получило доступ видимые метаданные, связанные с каждым номером: преобладающая операционная система, примерный возраст, количество привязанных устройств и, если пользователь не ограничил это, фотография профиля и текст раздела «О себе».
По результатам агрегированного анализа исследователи подсчитали, что Европа представляет собой около 18% пользовательской базы WhatsApp. На континенте Android преобладает (64%) по сравнению с iOS (36%), при этом Азия является крупнейшим рынком, на который приходится около 47% от общего объёма.
Команда также обнаружила поразительные технические закономерности, включая случаи повторение открытого ключа связан с неофициальные клиентыЭто не нарушает шифрование WhatsApp, но создает дополнительные риски для тех, кто использует сторонние приложения.
Ответ WhatsApp и внесенные изменения
Исследователи ответственно сообщили о проблеме и сотрудничали с компанией для принятия мер. Meta усилила защиту от автоматизации и применила более строгие ограничения скорости и пересмотрели средства контроля для выявления попыток крупномасштабного взлома.
Компания заявила, что не обнаружила никаких свидетельств злонамеренного использования этого вектора, и подчеркнула, что видимые данные зависят от настройки конфиденциальности каждого пользователяПосле завершения анализа исследователи удалили наборы данных.
Этот случай дополняет предыдущие предупреждения об использовании телефонных номеров в качестве основного идентификатора и поднимает вопросы Действительно ли WhatsApp безопасен?В предыдущие годы уже высказывалось предположение, что без дополнительных гарантий массовый подсчет Это может стать жизнеспособным.
Риски и как защитить себя
Основная угроза — использование подтвержденных номеров для спам-, смишинг- или фишинг-кампанииа также создание баз данных для коммерческих или наблюдательных целей.
Если вы пользуетесь WhatsApp в Испании или любой другой стране ЕС, рекомендуется усилить настройки конфиденциальности: Ограничьте круг лиц, которые могут видеть вашу фотографию профиля и текст «О нас», проверьте «Последние» и «Последнее посещение», отключите видимость данных для незнакомцев и избегайте неофициальные клиенты.
Активировать Двухэтапная проверкаБудьте осторожны с сообщениями с запросами кодов или личной информации и блокируйте неизвестные номера, если у вас есть какие-либо подозрения. Если вы столкнулись с попыткой выдать себя за другое лицо, сообщите об этом в приложении и, при необходимости, жалоба в AEPD или потребительские организации.
Влияние в Испании и Европе
На таком рынке, как Испания, где WhatsApp распространен повсеместно, возможность массового сбора данных об аккаунтах увеличивает риск автоматические звонки, спам-списки и мошенничество сегментно-ориентированный.
Для европейских администраций и компаний этот инцидент подтверждает необходимость внутреннего контроля и соблюдения рамок RGPDМинимизация данных, применение принципов «конфиденциальности по умолчанию» и аудит использования каналов обмена сообщениями в конфиденциальных сообщениях. В эпизоде также рассматриваются такие риски, как массовый шпионаж и важность четкой политики.
Заглядывая в будущее, следует сократить использование телефонных номеров в качестве идентификаторов, например, через имена пользователей, и расширить антипереписной контроль Более агрессивные меры могут ограничить подобные злоупотребления, не жертвуя при этом простотой использования.
Эпизод преподносит несколько уроков: удобный для пользователя дизайн может открыть путь к масштабным злоупотреблениям, метаданные имеют большое значение, а сотрудничество между научными кругами и промышленностью ускоряет принятие корректирующих мер; поскольку меры уже приняты, теперь дело за пользователями. измените настройки конфиденциальности Теперь учреждениям следует требовать соблюдения надлежащих практик, чтобы избежать рецидивов.
