Kritická bezpečnostní zranitelnost WhatsApp odhalila telefonní čísla a související profilové informace více než 3 miliard uživatelů po celém světě, což vyvolalo vážné obavy o soukromí v nejpopulárnější aplikaci pro zasílání zpráv na světě. Zranitelnost, kterou objevili vědci z Vídeňské univerzity a SBA Research, umožňuje útočníkům sbírat uživatelská data v bezprecedentním měřítku.
Jak tato zranitelnost funguje
Problém je zakořeněn v mechanismu detekce kontaktů WhatsApp. Když uživatel udělí aplikaci oprávnění pro přístup k jejich adresáři, WhatsApp přiřadí tato čísla k centrální databázi, aby ukázal, které kontakty jsou také na platformě. Stejný proces však lze použít k systematickému seznamování telefonních čísel, profilových fotografií a stavů „O mně“ bez oprávnění.
“Tento problém upozorňuje na základní problém v architektuře WhatsApp: samotné telefonní číslo je zranitelnost.” — Marius Briedis, technický ředitel NordVPN.
To znamená, že kdokoli se základními technickými dovednostmi by mohl potenciálně shromáždit miliardy datových bodů, což by umožnilo vysoce cílené útoky včetně phishingu, předstírání identity a podvodů sociálního inženýrství. Obzvláště alarmující je rychlost, s jakou lze tato data extrahovat.
Širší důsledky
Tento incident zdůrazňuje širší trend: přirozená rizika používání telefonních čísel jako primárních uživatelských identifikátorů. Telefonní čísla jsou veřejně dostupná, trvalá a snadno se shromažďují, takže v dnešních digitálních prostředích nejsou vhodná pro bezpečnou autentizaci. Mnoho platforem stále spoléhá na telefonní čísla pro registraci a ověřování, což vytváří systémovou zranitelnost, kterou mohou využít kyberzločinci.
Výsledky studie, zveřejněné v předběžném článku s názvem „Dobrý den! Používáte WhatsApp: Seznam tří miliard účtů pro zabezpečení a soukromí“, jsou jasnou připomínkou toho, že ani vyspělé platformy, jako je WhatsApp, nejsou imunní vůči zásadním chybám v designu.
Metaova odpověď a nedávná obvinění
Meta, mateřská společnost WhatsApp, říká, že tuto zranitelnost vyřešila a opravila s tím, že neexistují žádné důkazy o škodlivém použití. Společnost také uznává zodpovědné sdílení informací výzkumnými pracovníky na Vídeňské univerzitě prostřednictvím programu Bug Bounty.
To však přichází po nedávných obviněních bývalého bezpečnostního šéfa WhatsApp Attaullaha Baiga, který podal žalobu na údajná systémová selhání při řešení únosů a hackování účtů, přičemž denně je hackováno více než 100 000 účtů. Baigova obvinění naznačují, že bezpečnostní opatření WhatsApp mohou být méně přísná, než se veřejně uvádí.
Co to znamená pro uživatele
Odhalení této chyby zabezpečení je pro uživatele i platformy signálem. To zdůrazňuje potřebu bezpečnějších metod ověřování identity nad rámec telefonních čísel, jako jsou decentralizované ID nebo biometrické ověřování.
Tento incident v konečném důsledku potvrzuje skutečnost, že online soukromí je neustálý boj, nikoli pevný stav. Uživatelé musí zůstat ostražití ohledně své digitální stopy a platformy musí upřednostňovat robustní bezpečnostní opatření, aby chránily svou uživatelskou základnu.
