Критическая уязвимость в безопасности WhatsApp раскрыла номера телефонов и связанную с ними информацию профилей более 3 миллиардов пользователей по всему миру, что вызывает серьезные опасения по поводу конфиденциальности в самом популярном в мире приложении для обмена сообщениями. Уязвимость, обнаруженная исследователями из Венского университета и SBA Research, позволяет злоумышленникам собирать пользовательские данные в беспрецедентных масштабах.
Как работает уязвимость
В основе проблемы лежит механизм обнаружения контактов в WhatsApp. Когда пользователь предоставляет приложению разрешение на доступ к своей адресной книге, WhatsApp сопоставляет эти номера со своей центральной базой данных, чтобы показать, какие контакты также находятся на платформе. Однако этот же процесс можно использовать для систематического перечисления номеров телефонов, фотографий профилей и статусов «О себе» без авторизации.
«Эта проблема подчеркивает фундаментальную проблему в архитектуре WhatsApp: сам номер телефона является уязвимостью». — Мариус Бриедис, технический директор NordVPN.
Это означает, что любой, обладающий базовыми техническими навыками, потенциально мог собрать миллиарды точек данных, что позволило бы проводить высокотаргетированные атаки, включая фишинг, выдачу себя за другого человека и мошенничество с использованием социальной инженерии. Особенно тревожит скорость, с которой эти данные можно извлечь.
Более широкие последствия
Этот инцидент подчеркивает более широкую тенденцию: внутренние риски использования номеров телефонов в качестве основных идентификаторов пользователей. Номера телефонов общедоступны, постоянны и легко собираются, что делает их непригодными для безопасной аутентификации в современных цифровых средах. Многие платформы по-прежнему полагаются на номера телефонов для регистрации и проверки, создавая системную уязвимость, которой могут воспользоваться киберпреступники.
Результаты исследования, опубликованные в предварительной статье под названием «Привет! Ты используешь WhatsApp: перечисление трех миллиардов учетных записей для безопасности и конфиденциальности», являются резким напоминанием о том, что даже зрелые платформы, такие как WhatsApp, не застрахованы от фундаментальных недостатков в конструкции.
Ответ Meta и недавние обвинения
Meta, материнская компания WhatsApp, утверждает, что устранила и устранила уязвимость, заявив, что нет никаких доказательств злонамеренного использования. Компания также признает ответственную передачу информации исследователями из Венского университета в рамках своей программы Bug Bounty.
Однако это произошло после недавних обвинений со стороны бывшего руководителя отдела безопасности WhatsApp, Аттауллаха Байга, который подал в суд, утверждая о системных сбоях в решении проблем с угоном учетных записей и взломом, при этом более 100 000 учетных записей взламываются ежедневно. Утверждения Байга позволяют предположить, что меры безопасности WhatsApp могут быть менее строгими, чем заявлено публично.
Что это значит для пользователей
Раскрытие этой уязвимости — это тревожный звонок как для пользователей, так и для платформ. Это подчеркивает необходимость более надежных методов проверки личности, помимо номеров телефонов, таких как децентрализованные идентификаторы или биометрическая аутентификация.
В конечном итоге этот инцидент подтверждает реальность того, что онлайн-конфиденциальность — это непрерывная борьба, а не фиксированное состояние. Пользователи должны сохранять бдительность в отношении своего цифрового следа, а платформы должны уделять приоритетное внимание надежным мерам безопасности для защиты своей пользовательской базы.
