Докато повечето потребители разглеждат WhatsApp като сигурна платформа за комуникация, ново изследване показва, че една от основните ѝ функции може да бъде използвана за събиране на чувствителни метаданни. Проучване на Университета във Виена и SBA Research разкри, че механизмът на приложението за откриване на контакти дава възможност за мащабно извличане на информация за потребителите – без съобщенията им да бъдат компрометирани.

Как работи уязвимостта

За да започне нов разговор, WhatsApp трябва да открие кои телефонни номера от адресната книга на потребителя вече използват приложението. Тази процедура включва изпращане на телефонни номера към сървърите на WhatsApp, които връщат информация дали даден номер е регистриран.

Изследователите демонстрират, че това позволява т.нар. “phone number enumeration” – систематично изследване на огромни блокове от телефонни номера, за да се установи кои са активни в приложението. Те успяват да извлекат над 100 милиона телефонни номера на час, без блокиране или ефективен rate limiting.

Акцент:

• Метаданните са уязвими – не съобщенията.

• Поверителността може да бъде компрометирана дори без пробив в криптирането.

Каква информация може да бъде събрана?

Когато потребител търси контакти в WhatsApp, приложението може да разкрие публични данни, свързани с номера:

• телефонен номер

• профилна снимка

• статус / “About” информация

• публични ключове

• timestamp-и (последна активност, дата на регистрация и др.)

На пръв поглед това може да изглежда безобидно, но изследователите показват, че чрез комбиниране на тези метаданни могат да се изведат допълнителни характеристики, като:

• възраст на акаунта,

• операционната система на устройството,

• брой свързани устройства,

• поведенчески модели и активност.

Тези данни биха могли да бъдат използвани за наблюдение, следене на конкретни хора, или за подготовка на социално инженерство и таргетирани атаки.

Уязвими потребители в страни, където WhatsApp е забранен

Изследването разкрива, че WhatsApp продължава да се използва масово в държави, където приложението е забранено – включително Китай, Иран и Мианмар. Дори просто разкриването на това, че определено лице използва приложението, може да има тежки последици за тези потребители.

Също така е установено, че близо половината от телефонните номера, изтекли при Facebook изтичането на данни през 2021 г., все още са активни в WhatsApp, което увеличава риска от измамни обаждания и злоупотреби.

Какво показа още анализът на данните

Изследователите установяват и данни за глобалното използване на приложението:

• 81% от потребителите използват Android

• останалата част използва iOS

Тази информация, макар и агрегирана, потвърждава широкото присъствие на WhatsApp и важността от защита на метаданните му.

Реакцията на Meta

Изследването (представено публично като preprint в GitHub) не включва лични данни – всичко е изтрито преди публикуването. Важното е обаче, че уязвимостта е реална, а метаданните не са защитени по същия начин като съобщенията.

Meta е уведомена за проблема.
Според Нитин Гупта, ръководител „Engineering“ в WhatsApp, компанията вече работи върху:

• anti-scraping системи,

• по-строги механизми за rate limiting,

• ограничена видимост на профилната информация.

Това показва, че WhatsApp признава риска, макар и индиректно, и предприема мерки за ограничаване на бъдещи злоупотреби.

Въпреки че WhatsApp предлага силно енд-ту-енд криптиране, проучването разкрива, че метаданните – най-пренебрегваният аспект на комуникационната сигурност – остават потенциален вектор за злоупотреба. Масовото извличане на данни чрез контактното откриване може да позволи наблюдение, социално инженерство или излагане на риск на потребители в чувствителни държави.

Потребителите следва да са наясно:
Криптираното съдържание не означава пълна поверителност.