Истражувачи од Универзитетот во Виена открија критична безбедносна ранливост во WhatsApp која им овозможила пристап до телефонските броеви на речиси секој корисник на оваа платформа за размена на пораки. Експлоатацијата на оваа грешка им дозволила на истражувачите да идентификуваат 3,5 милијарди активни профили низ 245 земји, што ја прави оваа инцидентна најголемата документирана изложеност на телефонски броеви досега.
Најзагрижувачкиот аспект на оваа безбедносна дупка е фактот дека Meta, матичната компанија на WhatsApp, била предупредена за проблемот уште во 2017 година, но не успеала да имплементира ефективни заштитни механизми во текот на осум години.
Како функционира експлоатацијата
Ранливоста произлегува од механизмот за откривање на контакти во WhatsApp, кој овозможува корисниците да проверат дали нивните контакти се регистрирани на платформата. Истражувачкиот тим ја искористил оваа функција преку систематско испрашување на милијарди потенцијални телефонски броеви.
Користејќи го истиот механизам, истражувачите демонстрирале дека е можно да се испрашуваат повеќе од 100 милиони телефонски броеви на час преку инфраструктурата на WhatsApp. Само со пет автентицирани профили на еден сервер, тимот успеал да провери 63 милијарди потенцијални броеви помеѓу декември 2024 и април 2025 година.
Габриел Гегенхубер, главен автор на студијата од Универзитетот во Виена, објаснува дека систем не треба да одговара на толку голем број барања во кратко време, особено кога потекнуваат од еден извор, што го изложува основниот недостаток.
Откриените податоци ги надминуваат телефонските броеви
Ранливоста не се ограничи само на телефонските броеви. Истражувачите успеале да прибават јавни профилни слики, статус пораки, информации за бизнис профили, детали за уреди, клучеви за енкрипција и временски печати за откриените профили.
Проценките покажуваат дека 56,7 проценти од корисниците имале јавно достапни профилни слики, додека 29,3 проценти имале јавен “about” текст. Анализирајќи ги овие податоци, специјалистите за ИТ безбедност дополнително можеле да заклучат метаподатоци како оперативниот систем на уредот, возраста на профилот и бројот на поврзани секундарни уреди.
Глобални импликации и ризици
Изложените информации креираат сериозни ризици за приватноста, особено во земјите каде WhatsApp е забранет. Познавањето дали одреден телефонски број е поврзан со апликација за размена на пораки е високо сензитивно, особено кога тој број е поврзан со позната личност.
Истражувачите идентификувале милиони активни профили во земји каде WhatsApp беше забранет во времето на студијата, вклучувајќи Кина, Иран, Северна Кореја и Мијанмар. Во регионите како Западна Африка, каде 80 проценти од профилите се јавни, ризиците од крадење на идентитет и кибер-напади значително се зголемуваат.
Споредувајќи го својот сет на податоци со протекувањето на податоци од Facebook од 2021 година, кое содржеше 500 милиони записи, истражувачите утврдиле дека речиси половина од протечените телефонски броеви останале активни на WhatsApp шест години подоцна. Ова демонстрира долготрајна природа на протекувањата на податоци и како еднаш изложените информации продолжуваат да претставуваат безбедносни ризици.
Реакција на Meta и заштитни мерки
По одговорното пријавување на проблемот во септември 2024 година, Meta презеде неколку заштитни мерки. Компанијата имплементираше ограничувања базирани на обем користејќи пробабилистички структури на податоци, ограничи пристап до профилни слики и статус пораки дури и кога се поставени како јавни, и ги отстрани временските печати од барањата за профилни слики.
Компанијата исто така поправила ранливост со повторно користење на клучеви во Android клиентите. WhatsApp изјави дека пораките на корисниците останале заштитени преку стандардна енд-то-енд енкрипција и им се заблагодари на истражувачите за нивната соработка.
Сепак, истражувачите забележале дека одговорот на Meta бил бавен, и дека компанијата едвај го признала проблемот една година по неговото прво пријавување.
Алјоша Јудмајер, последен автор на студијата од Универзитетот во Виена, нагласува дека оваа енд-то-енд енкрипција ја заштитува содржината на пораките, но не нужно и поврзаните метаподатоци. Оваа работа покажува дека ризиците за приватноста можат да се појават и кога таквите метаподатоци се собираат и анализираат на голема скала.
Откритието ги нагласува фундаменталните предизвици за приватноста во централизираните платформи за размена на пораки и демонстрира како карактеристиките дизајнирани за удобност на корисниците можат да станат безбедносни ранливости кога не се адекватно заштитени против злоупотреба на голема скала.
Студијата, насловена “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“, ќе биде презентирана на NDSS Symposium 2026, една од водечките меѓународни конференции за компјутерска и мрежна безбедност.
Оваа содржина е генерирана со помош на вештачка интелигенција, но е внимателно проверена, уредена и дополнета од уредничкиот тим на IT.mk, со цел да обезбедиме точни, релевантни и квалитетни информации за читателите.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
