WhatsApp: Naukowcy tworzą książkę telefoniczną ze wszystkimi 3,5 miliardami użytkowników

Badacze bezpieczeństwa z Uniwersytetu Wiedeńskiego i SBA Research przedstawili niepokojącą demonstrację możliwości gromadzenia danych w WhatsApp. Zespołowi udało się zdemaskować wszystkich 3,5 miliarda użytkowników korzystających z funkcji wykrywania kontaktów komunikatora. Funkcja ta jest w rzeczywistości przeznaczona do sprawdzania kontaktów z własnej książki adresowej.

Badacze wykorzystali poważną lukę w zabezpieczeniach, która została już usunięta. Odkryli, że interfejs nie miał wystarczających limitów szybkości dla zapytań. Teoretycznie pozwoliło im to na sprawdzenie 100 milionów numerów telefonów na godzinę. Badano po prostu pełne zakresy numerów telefonów. Badanie zostało ostatecznie opublikowane na stronie Githuba naukowcy przedstawią dalsze wyniki i szczegółowe analizy na Sympozjum Bezpieczeństwa Sieci i Systemów Rozproszonych (NDSS), które odbędzie się w San Diego w dniach 23-27 lutego 2026 roku.

W wyniku tego badania uzyskano ogromną bazę danych zawierającą około 3,5 miliarda aktywnych kont WhatsApp na całym świecie. Interfejs API (interfejs programowania aplikacji) WhatsApp udostępniał publicznie dostępne metadane, gdy tylko numer został zidentyfikowany jako zarejestrowany. Obejmowało to zdjęcia profilowe, aktualizacje statusu i informacje o tym, kiedy użytkownik był ostatnio online. Można było również uzyskać szczegóły techniczne, takie jak dystrybucja systemów operacyjnych. Na przykład dane pokazują, że około 81% użytkowników na całym świecie korzysta z Android, podczas gdy iOS stanowi około 19%.

Naukowcy porównali również te dane z ogromnym wyciekiem danych z Facebooka z 2021 roku. 58% liczb, które wyciekły w tym czasie, jest nadal aktywnych. To pokazuje, jak cenne mogą pozostać tak ogromne zbiory danych, nawet po latach. Nawet w krajach o ścisłej cenzurze Internetu i blokadach WhatsApp zidentyfikowano miliony aktywnych użytkowników. zidentyfikowano 2 333 519 kont z chińskimi numerami telefonów. Nawet w Korei Północnej co najmniej pięć numerów telefonów było powiązanych z kontem WhatsApp.

Meta została poinformowana o luce i od tego czasu zareagowała, wdrażając ścisłe limity szybkości, więc masowe zapytania z taką prędkością nie powinny być już możliwe. Chociaż firma stwierdziła, że nie ma dowodów na wykorzystanie luki przez osoby trzecie, pełny przegląd takich prób w przeszłości jest technicznie prawie niemożliwy. Sama metoda jest znana w kręgach bezpieczeństwa, dlatego też wcześniejsze, niewykryte wykorzystanie przez inne podmioty jest co najmniej możliwe.

Co więcej, pewien szczegół techniczny zapewnia wgląd w mroczny świat WhatsApp. Podczas normalnej pracy każda instalacja aplikacji generuje unikalną parę kluczy kryptograficznych, która stanowi podstawę szyfrowania end-to-end i zapewnia tożsamość urządzenia. Badacze odkryli jednak klastry numerów telefonów korzystających z tego samego klucza publicznego, co powinno być technicznie niemożliwe podczas korzystania z oficjalnej aplikacji na urządzeniach fizycznych. To ponowne użycie klucza zdecydowanie sugeruje użycie nieoficjalnego oprogramowania. Takie narzędzia są często wykorzystywane w "farmach kliknięć" lub w botach marketingowych, w których operatorzy kopiują identyczne tożsamości bezpieczeństwa na wiele różnych kont, albo ze względów wydajnościowych, albo z powodu wadliwej implementacji. To nie tylko ujawnia fałszywe konta, ale także pokazuje, że ci nieoficjalni klienci mogą znacznie osłabić architekturę bezpieczeństwa komunikatora.