Otkriven ogroman propust u WhatsAppu: Hakovali praktično celu planetu i otkrili 3,5 milijardi naloga

Istraživači sa Univerziteta u Beču i organizacije SBA Research otkrili su masivan bezbednosni propust u aplikaciji WhatsApp koji je omogućio mapiranje čak 3,5 milijardi korisničkih naloga širom sveta. Propust je pronađen u mehanizmu za otkrivanje kontakata, koji služi za identifikovanje korisnika na osnovu brojeva iz imenika. Meta je nakon prijave ranjivost zakrpila u saradnji sa istraživačima.

Preporučujemo

Ono što ovu situaciju čini posebno zabrinjavajućom je činjenica da je sistem dozvoljavao slanje preko sto miliona upita na sat. To je istraživačima omogućilo da praktično naprave mapu korisnika na globalnom nivou, uključujući zemlje u kojima je WhatsApp zvanično zabranjen kao što su Kina, Iran i Mjanmar.

Kako je otkriven propust

WhatsApp odgovara na upite koji se šalju putem sistema za otkrivanje kontakata. Umesto da ograniči broj zahteva po izvoru, sistem je dozvoljavao neograničeno skeniranje brojeva, što je omogućilo masovno prikupljanje podataka.

Istraživači ističu da su podaci koji su postali dostupni javni onoliko koliko bi bili dostupni svakome ko zna nečiji broj telefona. Međutim, kroz analizu metapodataka uspeli su da izvedu dodatne zaključke kao što su starost naloga, operativni sistem uređaja i broj povezanih uređaja.

Podaci do kojih su istraživači došli

Prema objavljenoj studiji, otkriveno je nekoliko ključnih stvari. Globalna distribucija korisnika Android uređaja iznosi oko 81 procent, dok iOS drži samo 19 procenata. Otkriveno je i da veliki broj korisnika koristi javno vidljive profilne slike i opise, što dodatno olakšava identifikaciju.

Posebno zabrinjava podatak da je skoro polovina brojeva procurelih u Facebook curenju iz 2018. godine i dalje aktivna na WhatsAppu. To znači da rizici od prevara, spam poziva i ciljanih zloupotreba ostaju dugoročni.

Meta skinula ranjivost i zahvalila istraživačima

Meta je potvrdila otkriće i istakla da incident nije doveo do kompromitovanja poruka, jer su one i dalje zaštićene end-to-end enkripcijom. Kompanija navodi da su istraživačima zahvalni na saradnji i da je propust iskorišćen isključivo u istraživačke svrhe uz potpuno brisanje prikupljenih podataka.

Iz kompanije poručuju da su već radili na sistemima protiv masovnog skrejpa podataka i da je ova studija pomogla da se novi sistemi dodatno testiraju i doteraju. Nema dokaza da su ranjivost iskoristili akteri sa malicioznim namerama.

Šta ovo znači za korisnike

Iako poruke ostaju šifrovane i sigurne, studija pokazuje da metadata može da otkrije mnogo više nego što deluje na prvi pogled. Kroz kombinovanje podataka moguće je doći do zaključaka o navikama korisnika, uređajima, istoriji aktivnosti i demografskim trendovima.

Istraživači poručuju da čak i velike i etablirane platforme moraju stalno biti pod lupom, jer bezbednost nije konačan proizvod, već proces koji zahteva stalne provere i nezavisno istraživanje.

(Telegraf.rs)