Изследователи по сигурността от Университета във Виена и SBA Research представиха тревожна демонстрация на възможностите за събиране на данни в WhatsApp. Екипът успя да разкрие самоличността на всички 3.5 милиарда потребители, използвайки функцията за откриване на контакти на чат приложението. Тази функция всъщност е предназначена за проверка на контактите от вашата собствена адресна книга.

Изследователите се възползваха от масивна уязвимост в сигурността, която оттогава е отстранена. Те откриха, че интерфейсът не разполага с достатъчни ограничения за честотата на заявките. Теоретично това им е позволило да търсят 100 милиона телефонни номера на час. Просто са били проверени пълни диапазони от телефонни номера. Проучването в крайна сметка е публикувано в Github, а учените ще представят допълнителни резултати и подробни анализи на симпозиума Network and Distributed System Security (NDSS), който ще се проведе в Сан Диего от 23 до 27 февруари 2026 г.

Това проучване доведе до създаването на огромна база данни с приблизително 3.5 милиарда активни WhatsApp акаунта по целия свят. API (приложен програмен интерфейс) на WhatsApp предостави публично достъпни метаданни веднага след като даден номер беше идентифициран като регистриран. Те включваха профилни снимки, актуализации на статуса и информация за последното онлайн присъствие на потребителя. Можеха да се съберат и технически подробности като разпределението на операционните системи. Например данните показват, че около 81% от потребителите по целия свят използват Android, докато iOS заема около 19%.

Изследователите сравниха тези данни с масивното изтичане на данни от Facebook през 2021 г. 58% от номерата, изтекли по това време, са все още активни и днес. Това илюстрира колко ценни могат да останат такива масивни набори от данни дори години по-късно. Дори в страни със строга интернет цензура и блокиране на WhatsApp бяха идентифицирани милиони активни потребители. Бяха идентифицирани 2 333 519 акаунта с китайски телефонни номера. Дори в Северна Корея поне пет телефонни номера бяха свързани с акаунт в WhatsApp.

Meta беше информирана за уязвимостта и оттогава реагира с въвеждането на строги ограничения на скоростта, така че масовите заявки с такава скорост вече не би трябвало да са възможни. Въпреки че компанията заяви, че няма доказателства за експлоатация на уязвимостта от трети страни, пълна проверка на такива опити в миналото е технически почти невъзможна. Самият метод е известен в кръговете, занимаващи се със сигурност, поради което предишна, незабелязана употреба от други участници е поне една възможност.

Освен това една техническа подробност дава представа за сенчестия свят на WhatsApp. При нормална работа всяка инсталация на приложението генерира уникална криптографска двойка ключове, която формира основата за криптиране от край до край и гарантира идентичността на устройството. Изследователите обаче откриха групи от телефонни номера, които използват един и същ публичен ключ, което би трябвало да е технически невъзможно при използване на официалното приложение на физически устройства. Повторното използване на този ключ силно подсказва използването на неофициален софтуер. Такива инструменти често се използват в „клик ферми“ или за маркетингови ботове, където операторите копират идентични идентичности за сигурност в много различни акаунти, било то по причини, свързани с ефективността, или поради неправилно изпълнение. Това не само разкрива фалшиви акаунти, но и показва, че тези неофициални клиенти могат да подкопаят сериозно архитектурата за сигурност на месинджъра.

Снимка: Pexels

Виж още: Неразопаковани Nintendo 3DS конзоли се продават за 1500 долара, но крият неочаквана опасност