Академично проучване разкри, че общ механизъм на WhatsApp може да се използва за проверка в индустриален мащаб на това кои номера имат акаунти в приложението. Резултатът? Събирането на около 3.500 милиарда телефонни номераВ това, което самите автори описват като безпрецедентно представяне на този тип данни, трудът беше публикуван от специализираната медия. Кабелен и подписано от изследователи от Виенския университет, демонстрира, че е достатъчно да се автоматизира функцията на откриване на контакти да итерирам милиарди комбинации и маркирайте кои от тях са върнали валиден брой.
Коя уязвимост е била използвана
Ахилесовата пета не беше нито криптирането, нито използват сложно, но логиката на проверката дали даден телефон е в експлоатация. Чрез подаване на тази проверка с масивна поредица от числа, изследователите успяха да валидират акаунти с изключително висока скорост, достигайки около 100 милиона проверки на час и да се извлекат първите 30 милиона американски номера само за половин час.
Основният вектор беше браузърната версия на WhatsApp, където системите за антиконтролостъргване Тези автоматизирани заявки не бяха спрени по това време. Това изброяване на числа Ефективността му се умножава в страни с предвидими префикси и формати или където приемането на услуги е широко разпространено.
Какви данни са останали налични
В допълнение към валидирането на телефоните с акаунти, процесът позволява събирането на свързани публични метаданни: профилни снимки в 57% от случаите и текста на състоянието в 29%От техническа гледна точка не е имало нарушение на криптиране от край до край, така че Поне личните съобщения не са били компрометирани..
Мета твърди, че представеното е „публично достъпна основна информация“ и подчертава, че елементите, конфигурирани като частни от потребителя (например Управлявайте профилната си снимка ограничено до контакти) Не беше показаноВъпреки това, мащабът на събирането на данни прави тези данни ценна цел за кампании за социално инженерство.
Предупреждение, което е налице от години.
Възможността за преброяване на числа не е нова. През 2017 г. изследователят Лоран Клоузе вече посочи риска от този подход и призова за мерки за справяне с него. Осем години по-късно екипът от Виена разгърна тази идея в голям мащаб и демонстрира докъде може да стигне тя. автоматизация на откриването на контакти ако не са на място правилните спирачки.
Авторите са заявили, че са уведомили Meta чрез програмата за награди за грешки и че Те изтриха базата данни след тестовете. Проучването също така отбелязва, че когато тези експозиции се удължат във времето, част от информацията остава полезна години по-късно.
Мета отговор и текуща ситуация
WhatsApp посочва, че вече е работил по противоотбранителни мерки.остъргване и че в резултат на разследването то е затвърдило ограничаване на честотата за да се избегнат масови преброявания. Компанията твърди, че не е открила доказателства за злоупотреба от злонамерени лица чрез този вектор и подчертава, че криптирането от край до край То остана непокътнато.
(ФАЙЛОВЕ) Снимка показва логото на американската технологична група Meta по време на панаира за технологични стартиращи компании и иновации Vivatech в изложбения център Porte de Versailles в Париж на 14 юни 2023 г. Главният технологичен директор на Meta бързо отхвърля твърденията, че компанията е изостанала от конкуренти като ChatGPT в експлозивния бум в технологичната индустрия в областта на генеративния изкуствен интелект. „По-голямата част от населението на света ще има първия си опит с генеративния изкуствен интелект с нас“, каза Андрю „Боз“ Босуърт пред AFP на неотдавнашната конференция на компанията Connect за разработчици. Компанията, която притежава Facebook и Instagram, е възприемана като изоставаща от конкуренти като Microsoft и Google, които са пуснали на пазара продукти с генеративен изкуствен интелект и са инвестирали сериозно в технологията, разглеждана като сила, готова да оформи бъдещето. (Снимка от ALAIN JOCARD / AFP)
Според разследващите, уведомлението е станало преди месеци, а новите защитни съоръжения са били разположени впоследствие. Отвореният въпрос е дали отвъд ограничаване на скоростта, дизайнът, базиран на телефонния номер като основен идентификатор (например, в сравнение с потребителски имена) е устойчиво в дългосрочен план.
Потенциални рискове, свързани с тази уязвимост
Огромен списък с телефонни номера, свързани с акаунти, в много случаи със снимки и статус, Улеснява много по-прецизни атакиСред възможните сценарии се открояват следните рискове:
- Социално инженерство и целенасочени измамиКомбинацията от номер, снимка и текст на състоянието позволява по-достоверна персонализация на измами и представяне за друг човек.
- Доксинг и тормозИдентифицирането на хора въз основа на данни, разкрити в профила, увеличава потенциалната вреда.
- Излагане в страни с ограниченияКогато използването на приложението може да доведе до санкции, самото потвърждаване, че даден номер е в WhatsApp добавя риск.
- Устойчивост във времетоНякои от числата, присъстващи в минали течове на информация, все още са активни, което удължава полезността на тези бази данни за бъдещи кампании.
Как да защитите акаунта си точно сега
Не е възможно да скриете номера си от тези, които вече го знаят, но можете да намалите връзката му с идентифициращи елементи. Настройването на видимостта на профила ви ограничава стойността на бъдещото номериране и усложнява процеса. персонализиране на атакатаСледвайте тези стъпки, ако искате да „защитите“ по-добре профила си:
- Отворете WhatsApp настройки и докоснете „Поверителност“.
- En Снимка на потребителския профил e Info.Изберете „Моите контакти“ (или „Никой“, ако предпочитате максимална поверителност).
- Избягвайте включването на връзки или чувствителни данни в текст на състоянието.
- Активирайте проверка в две стъпки И бъдете внимателни със съобщения, които искат кодове или пари, дори и да изглеждат приятелски.