Meta u panici na ogroman WhatsApp propust: 3,5 milijardi korisnika u opasnosti!
WhatsApp je godinama poznat po lakoći dodavanja kontakata, dovoljno je uneti nečiji broj i odmah se vidi da li je osoba na platformi, često i sa imenom i profilnom fotografijom. Međutim, ista ta jednostavnost postala je okvir za masovno prikupljanje podataka, jer se ista radnja može ponoviti milijardama puta za sve moguće brojeve telefona.
Austrijski istraživači su upravo tako demonstrirali da je moguće doći do ogromne količine ličnih informacija. Njihov rad pokazuje da trivijalna funkcija za otkrivanje kontakata može otkriti telefone, fotografije i profile korisnika iz gotovo celog sveta.
Istraživači došli do 3,5 milijardi brojeva
Tim sa Univerziteta u Beču uspeo je da izvuče 3,5 milijardi brojeva telefona registrovanih na WhatsAppu koristeći jednostavnu tehniku proveravanja svakog mogućeg broja. Za oko 57 procenata korisnika mogli su da vide profilne fotografije, a kod 29 procenata i tekst iz profila.
Meta nije ograničila brzinu ovih provera u svom veb interfejsu, što je istraživačima omogućilo da skeniraju oko sto miliona brojeva na sat. Oni ovaj rezultat nazivaju potencijalno najvećim otkrivenim curenjem brojeva telefona u istoriji, koje je sprečeno samo zato što je realizovano kao deo kontrolisanog istraživanja.
Višegodišnja upozorenja o istom problemu
Istraživači su u aprilu obavestili Metu i obrisali prikupljene podatke, a kompanija je do oktobra postavila nova ograničenja koja sprečavaju masovne upite. Meta je tvrdila da su izloženi podaci „osnovne javne informacije“ i da nije pronađeno dokaz da su napadači koristili ovaj metod.
Ipak, istraživači navode da nisu naišli na nikakve zaštitne mehanizme u trenutku testiranja. Ovo takođe nije prvi put da se upozorava na isti problem, jer je još 2017. holandski istraživač Loran Kloze ukazao da se WhatsApp može enumerisati na identičan način, uključujući i pristup profilnim fotografijama i statusima.
Ogromna izloženost i rizici po privatnost
Nakon potpunog skeniranja baze, istraživači su utvrdili i koliki procenat korisnika javno izlaže dodatne informacije. U SAD, 44 odsto prikupljenih brojeva imalo je vidljivu profilnu fotografiju, a 33 odsto javni tekst profila. U Indiji, gde je WhatsApp još zastupljeniji, čak 62 procenta korisnika imalo je javno dostupne fotografije.
Podaci su otkrili i telefone registrovane u državama gde je WhatsApp zabranjen, poput Kine i Mjanmara, što može predstavljati rizik za građane tih zemalja. Vlade bi takvom izloženošću lako mogle da identifikuju i prate korisnike aplikacije.
Problem korišćenja broja kao identifikatora
Istraživači su analizirali i kriptografske ključeve naloga i otkrili da se pojedini ključevi ponavljaju, čak i stotinama puta, što ukazuje na korišćenje nezvaničnih WhatsApp klijenata. Neki profili su imali ključ koji se sastojao samo od nula, a među njima su prepoznati i nalozi za prevare.
Zaključak istraživanja je da telefonski brojevi jednostavno nisu dovoljno sigurni kao jedinstveni identifikatori za milijarde korisnika. WhatsApp trenutno testira korisnička imena, ali dokle god se oslanja na brojeve telefona, masovna enumeracija ostaje stalna pretnja privatnosti.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO:
Ovaj kod otkriva da li vam prate telefon