Krytyczna luka w zabezpieczeniach WhatsApp ujawniła numery telefonów i powiązane z nimi informacje profilowe ponad 3 miliardów użytkowników na całym świecie, budząc poważne obawy dotyczące prywatności w najpopularniejszej na świecie aplikacji do przesyłania wiadomości. Luka, odkryta przez badaczy z Uniwersytetu Wiedeńskiego i SBA Research, umożliwia atakującym zbieranie danych użytkowników na niespotykaną wcześniej skalę.
Jak działa luka
Problem ma swoje korzenie w mechanizmie wykrywania kontaktów WhatsApp. Gdy użytkownik udzieli aplikacji pozwolenia na dostęp do swojej książki adresowej, WhatsApp dopasowuje te numery do swojej centralnej bazy danych, aby pokazać, które kontakty również znajdują się na platformie. Jednak ten sam proces można wykorzystać do systematycznego wyświetlania numerów telefonów, zdjęć profilowych i statusów „O mnie” bez autoryzacji.
„Ten problem uwydatnia podstawowy problem w architekturze WhatsApp: numer telefonu sam w sobie stanowi lukę w zabezpieczeniach.” — Marius Briedis, dyrektor ds. technicznych NordVPN.
Oznacza to, że każda osoba posiadająca podstawowe umiejętności techniczne może potencjalnie zebrać miliardy punktów danych, co pozwala na wysoce ukierunkowane ataki, w tym phishing, podszywanie się i oszustwa wykorzystujące socjotechnikę. Szczególnie niepokojąca jest szybkość, z jaką można wyodrębnić te dane.
Szersze implikacje
Ten incydent uwypukla szerszą tendencję: nieodłączne ryzyko związane z używaniem numerów telefonów jako głównych identyfikatorów użytkowników. Numery telefonów są publicznie dostępne, trwałe i łatwe do gromadzenia, co sprawia, że nie nadają się do bezpiecznego uwierzytelniania we współczesnych środowiskach cyfrowych. Wiele platform w dalszym ciągu wykorzystuje numery telefonów do rejestracji i weryfikacji, co stwarza lukę systemową, którą mogą wykorzystać cyberprzestępcy.
Wyniki badania, opublikowane we wstępnym artykule zatytułowanym „Witajcie! Używasz WhatsApp: lista trzech miliardów kont ze względu na bezpieczeństwo i prywatność”, wyraźnie przypominają, że nawet dojrzałe platformy, takie jak WhatsApp, nie są odporne na podstawowe wady projektowe.
Odpowiedź Meta i ostatnie oskarżenia
Meta, spółka matka WhatsApp, twierdzi, że zajęła się i załatała lukę, twierdząc, że nie ma dowodów na złośliwe użycie. Firma docenia także odpowiedzialne udostępnianie informacji przez badaczy z Uniwersytetu Wiedeńskiego w ramach programu Bug Bounty.
Nastąpiło to jednak po niedawnych zarzutach byłego szefa bezpieczeństwa WhatsApp, Attaullaha Baiga, który złożył pozew, w którym zarzucił nieprawidłowości systemowe w radzeniu sobie z przejmowaniem kont i włamaniami, przy czym codziennie hakowanych jest ponad 100 000 kont. Zarzuty Baiga sugerują, że środki bezpieczeństwa WhatsApp mogą być mniej rygorystyczne, niż podano publicznie.
Co to oznacza dla użytkowników
Ujawnienie tej luki jest sygnałem ostrzegawczym zarówno dla użytkowników, jak i platform. Podkreśla to potrzebę bezpieczniejszych metod weryfikacji tożsamości wykraczających poza numery telefonu, takich jak zdecentralizowane identyfikatory lub uwierzytelnianie biometryczne.
Ostatecznie ten incydent utwierdza w przekonaniu, że prywatność w Internecie to ciągła walka, a nie stan ustalony. Użytkownicy muszą zachować czujność w kwestii swojego śladu cyfrowego, a platformy muszą nadać priorytet solidnym środkom bezpieczeństwa, aby chronić swoją bazę użytkowników.
