Критична вразливість у безпеці WhatsApp розкрила номери телефонів і пов’язану інформацію про профілі понад 3 мільярдів користувачів у всьому світі, що викликало серйозні занепокоєння щодо конфіденційності в найпопулярнішому додатку для обміну повідомленнями. Уразливість, виявлена дослідниками з Віденського університету та SBA Research, дозволяє зловмисникам збирати дані користувачів у безпрецедентних масштабах.
Як працює вразливість
Проблема криється в механізмі виявлення контактів WhatsApp. Коли користувач надає програмі дозвіл на доступ до своєї адресної книги, WhatsApp зіставляє ці номери зі своєю центральною базою даних, щоб показати, які контакти також є на платформі. Однак той самий процес можна використовувати для систематичного перерахування номерів телефонів, фотографій профілю та статусів «Про» без авторизації.
«Ця проблема підкреслює фундаментальну проблему в архітектурі WhatsApp: сам номер телефону є вразливим місцем». — Маріус Брієдіс, технічний директор NordVPN.
Це означає, що будь-хто з елементарними технічними навичками може потенційно збирати мільярди точок даних, що дозволяє здійснювати цілеспрямовані атаки, включаючи фішинг, видавання себе за іншу особу та шахрайство соціальної інженерії. Особливу тривогу викликає швидкість, з якою можна отримати ці дані.
Ширші наслідки
Цей інцидент підкреслює ширшу тенденцію: властивий ризик використання номерів телефонів як основних ідентифікаторів користувачів. Номери телефонів є загальнодоступними, постійними та легко збираються, що робить їх непридатними для безпечної автентифікації в сучасних цифрових середовищах. Багато платформ все ще покладаються на номери телефонів для реєстрації та перевірки, створюючи системну вразливість, якою можуть скористатися кіберзлочинці.
Результати дослідження, опубліковані в попередній статті під назвою “Привіт! Ви використовуєте WhatsApp: список трьох мільярдів облікових записів для безпеки та конфіденційності”, є яскравим нагадуванням про те, що навіть зрілі платформи, такі як WhatsApp, не захищені від фундаментальних недоліків дизайну.
Відповідь Мети та останні звинувачення
Meta, материнська компанія WhatsApp, каже, що усунула та виправила вразливість, заявивши, що немає доказів зловмисного використання. Компанія також визнає відповідальний обмін інформацією дослідниками Віденського університету через програму Bug Bounty.
Однак це сталося після недавніх звинувачень колишнього керівника служби безпеки WhatsApp Аттауллаха Бейга, який подав позов, стверджуючи про системні збої в боротьбі з викраденням і зломом облікових записів, коли щодня зламується понад 100 000 облікових записів. Звинувачення Бейга свідчать про те, що заходи безпеки WhatsApp можуть бути менш суворими, ніж публічно заявлено.
Що це означає для користувачів
Розкриття цієї вразливості є тривожним дзвіночком для користувачів і платформ. Це підкреслює потребу в більш безпечних методах перевірки особи, крім телефонних номерів, таких як децентралізовані ідентифікатори або біометрична автентифікація.
Зрештою, цей інцидент підтверджує реальність того, що конфіденційність в Інтернеті – це постійна боротьба, а не фіксований стан. Користувачі повинні залишатися пильними щодо свого цифрового сліду, а платформи повинні надавати пріоритет надійним заходам безпеки для захисту своєї бази користувачів.
