Уязвимость WhatsApp: раскрытие данных 3.5 млрд аккаунтов
Исследователи из Венского университета и SBA Research выявили серьезную уязвимость в механизме обнаружения контактов WhatsApp. Эта брешь позволяла злоумышленникам получать доступ к информации более чем 3.5 миллиардам аккаунтов. Meta, владелец WhatsApp, уже предприняла шаги для устранения проблемы.
Исследование подчеркивает важность постоянного независимого анализа безопасности популярных платформ для обмена сообщениями и риски, связанные с централизацией таких сервисов. Предварительная версия исследования доступна на GitHub, а полные результаты будут представлены на симпозиуме Network and Distributed System Security (NDSS) в 2026 году.
Механизм обнаружения контактов WhatsApp использует адресную книгу пользователя для поиска других пользователей по номеру телефона. Исследователи смогли отправлять более 100 миллионов запросов в час, подтверждая активность свыше 3.5 миллиардов аккаунтов в 245 странах.
«Система не должна реагировать на такое количество запросов за короткий промежуток времени, особенно из одного источника», — объясняет автор исследования Габриэль Гегенхубер. «Это поведение выявило уязвимость, позволившую нам отправлять практически неограниченное количество запросов к серверу и собирать данные пользователей по всему миру».
Доступные данные, использованные в исследовании, являются общедоступными для любого, кто знает номер телефона пользователя. К ним относятся: номер телефона, открытые ключи, временные метки, а также текстовое поле «О себе» и изображение профиля, если они установлены как публичные.
На основе этих данных исследователи смогли извлечь дополнительную информацию, такую как операционная система пользователя, возраст аккаунта и количество связанных устройств. Исследование показало, что даже этот ограниченный объем данных может раскрыть важную информацию как на макро-, так и на индивидуальном уровне.
Также было выявлено, что миллионы активных аккаунтов WhatsApp существуют в странах, где платформа официально запрещена, таких как Китай, Иран и Мьянма. Анализ данных позволил получить информацию о глобальном распределении устройств (81% Android против 19% iOS), региональных различиях в настройках конфиденциальности (например, использование публичных фото профиля или статуса «О себе») и динамике роста пользователей в разных странах.
В небольшом количестве случаев было обнаружено повторное использование криптографических ключей на разных устройствах или номерах телефонов, что может указывать на потенциальные уязвимости в неофициальных клиентах WhatsApp или случаи мошеннического использования.
Почти половина телефонных номеров, фигурировавших в утечке данных Facebook за 2021 год (500 миллионов номеров, произошедшей в результате скрейпинга в 2018 году), по-прежнему были активны в WhatsApp. Это подчеркивает сохраняющиеся риски для пользователей, чьи номера были скомпрометированы (например, возможность стать целью мошеннических звонков).
Важно отметить, что исследование не затрагивало содержимое сообщений, и никакие личные данные не были опубликованы или переданы. Все полученные данные были удалены исследователями до публикации. Сообщения в WhatsApp защищены сквозным шифрованием и не пострадали.
«Сквозное шифрование защищает содержимое сообщений, но не обязательно связанные с ними метаданные», — поясняет автор исследования Альоша Юдмайер. «Наша работа демонстрирует, что риски конфиденциальности могут возникать и при масштабном сборе и анализе таких метаданных».
«Эти выводы напоминают нам, что даже зрелые и широко доверенные системы могут содержать недостатки в проектировании или реализации, имеющие реальные последствия», — говорит Гегенхубер. «Они показывают, что безопасность и конфиденциальность — это не разовые достижения, а результат постоянной переоценки по мере развития технологий».
«Опираясь на наши предыдущие выводы о квитанциях о доставке и управлении ключами, мы вносим вклад в долгосрочное понимание того, как развиваются системы обмена сообщениями и где возникают новые риски», — добавляет соавтор Максимилиан Гюнтер.
Представитель WhatsApp, Нитин Гупта, вице-президент по инжинирингу, выразил благодарность исследователям за сотрудничество и ответственный подход. Он отметил, что обнаруженная техника скрейпинга превзошла их ожидания, но позволила подтвердить эффективность уже разрабатываемых защитных систем, включая ограничение частоты запросов и более строгую видимость информации профиля.
Исследователи подтвердили, что все собранные данные были безопасно удалены, и нет свидетельств злонамеренного использования данной уязвимости. Сообщения пользователей остались защищенными благодаря сквозному шифрованию.
Исследование проводилось в соответствии со строгими этическими нормами и принципами ответственного раскрытия. Результаты были оперативно переданы Meta, которая внедрила меры противодействия для устранения уязвимости.
Авторы настаивают на важности прозрачности, академической экспертизы и независимого тестирования для поддержания доверия к глобальным коммуникационным сервисам. Они подчеркивают, что проактивное сотрудничество между исследователями и промышленностью может значительно повысить уровень конфиденциальности пользователей и предотвратить злоупотребления.
Комментарии
Комментариев пока нет.