Виявлено серйозну уразливість у WhatsApp

Дослідники з Віденського університету та SBA Research виявили критичну проблему в безпеці WhatsApp, через яку могли бути ідентифіковані 3,5 мільярда користувачів.

Про це  пише Notebookcheck.

Використавши одну вразливість, їм вдалося зробити те, що досі вважалося неможливим, — ідентифікувати та занести в єдиний список усіх користувачів WhatsApp. Йдеться про колосальну базу з 3,5 мільярда облікових записів.

Слабке місце знайшлося у, здавалося б, невинній функції синхронізації контактів. Зазвичай вона допомагає перевірити, хто з вашої телефонної книги вже користується додатком, проте цього разу інструмент спрацював проти системи. Дослідники з’ясували, що інтерфейс не мав адекватних обмежень на кількість запитів.

Це розв’язало їм руки для масового сканування: вчені перевіряли телефонні номери цілими діапазонами зі швидкістю, що сягала ста мільйонів запитів на годину. Фактично, вони провели повну інвентаризацію аудиторії месенджера.

Улов виявився напрочуд багатим. Щойно система розпізнавала номер як дійсний, API додатка автоматично віддавав усю публічну інформацію. До рук дослідників потрапили фотографії профілів, текстові статуси, дані про час останньої активності та технічні характеристики пристроїв.

Цікавою виявилася статистика операційних систем: цифри підтвердили беззаперечне домінування Android, на якому працює 81% акаунтів, тоді як частка iOS становить лише 19%.

Автори експерименту пішли далі й порівняли отримані дані з відомим витоком інформації з Facebook за 2021 рік. Результат показав, наскільки живучими є наші цифрові сліди: 58% телефонних номерів із тієї старої бази досі прив’язані до активних профілів. Географія дослідження також принесла сюрпризи. Попри жорстку цензуру та офіційні блокування, у Китаї виявили понад 2,3 мільйона активних користувачів, а в закритій від світу Північній Кореї знайшлося п’ять номерів, що використовують WhatsApp.

Окрім загальної статистики, аналіз відкрив завісу над тіньовим ринком ботів. У нормальних умовах кожен встановлений додаток генерує унікальну пару криптографічних ключів для шифрування. Проте вчені помітили підозрілі скупчення номерів, які використовували ідентичні ключі безпеки. Це прямий доказ існування так званих «клік-ферм», де для масових розсилок чи накрутки активності використовують модифіковане програмне забезпечення, клонуючи цифрові особистості.

Компанію Meta вже повідомили про проблему, і розробники оперативно запровадили суворі ліміти на перевірку контактів, щоб унеможливити подібні маніпуляції в майбутньому. Хоча представники корпорації запевняють, що не мають доказів зловживань цією помилкою з боку хакерів, гарантувати це неможливо. Сам метод сканування відомий у колах фахівців з кібербезпеки досить давно, тож не виключено, що хтось міг скористатися ним раніше. Детальний звіт про своє розслідування команда планує оприлюднити наприкінці лютого на профільному симпозіумі в Сан-Дієго.