Миллиарды номеров пользователей WhatsApp оказались не защищенными

Исследование специалистов Венского университета выявило масштабную уязвимость в механизмах конфиденциальности WhatsApp, которая на протяжении восьми лет позволяла автоматически собирать данные практически о всех пользователях сервиса. Исследователям удалось сформировать базу из 3,5 млрд номеров, а также получить фотографии профилей и текстовые статусы значительной части учетных записей - без взлома и обхода системы безопасности.

Как передает Day.Az со ссылкой на Gazeta.ru, об этом сообщает SecurityLab.

Ключевой фактор, сделавший подобный сбор возможным, - конструкция функции поиска контактов, встроенная в WhatsApp. Приложение автоматически уведомляет пользователя о том, зарегистрирован ли введенный номер в сервисе, а также отображает имя и часть профиля. По данным университета, отсутствие ограничений на количество запросов в веб-версии WhatsApp позволило за считанные часы перебрать глобальные диапазоны номеров и сопоставить их с существующими аккаунтами.

Согласно отчету, для 57% собранных записей удалось получить изображения профилей, для трети - текстовые статусы. Исследователи подчеркивают, что подобная база, если бы она попала в открытый доступ, стала бы одной из крупнейших в истории по объему частичных персональных данных.

Ученые сообщили о проблеме Meta весной, однако уязвимость оставалась неисправленной до октября. Это означает, что сопоставимая по масштабу операция могла быть проведена злоумышленниками - от спамеров до государственных структур, заинтересованных в мониторинге активности граждан. Исследователи также напомнили, что на аналогичную проблему указывали еще в 2017 году, однако тогда компания утверждала, что подобное поведение системы соответствует стандартным настройкам конфиденциальности.

Сравнение текущих результатов с данными прошлых лет показывает существенный рост рисков: если в 2017 году речь шла о десятках миллионов потенциально доступных профилей, сегодня аудитория WhatsApp превышает треть населения мира. При этом телефонный номер, на который опирается архитектура сервиса, становится предсказуемым и легко перебираемым идентификатором, что делает невозможным эффективную защиту без внедрения дополнительных технических ограничений.

Анализ собранных данных выявил значительные различия по странам. В США 44% из 137 млн профилей имели открытые фотографии, в Индии - 62% из 750 млн, в Бразилии - 61% из 206 млн. Чем выше проникновение сервиса, тем реже пользователи меняют стандартные настройки конфиденциальности.

Отдельное внимание исследователей привлекли миллионы номеров из стран, где WhatsApp официально заблокирован. В Китае было обнаружено 2,3 млн записей, в Мьянме - 1,6 млн. По мнению экспертов, такие данные могут использоваться местными властями для отслеживания пользователей, обходящих запрет.

Дополнительную тревогу вызвали аномалии в работе системы сквозного шифрования: исследователи обнаружили сотни повторяющихся ключей, что может свидетельствовать о массовом использовании неофициальных клиентов WhatsApp.

По итогам исследования команда делает вывод, что уязвимость не ограничивается WhatsApp, а затрагивает целый класс сервисов, где телефонный номер выступает основным идентификатором. Meta уже тестирует альтернативный механизм с внутренними именами пользователей, и переход к такой модели, по мнению экспертов, может стать необходимым шагом для снижения рисков массового сбора данных.