Механізм пошуку контактів популярного месенджера WhatsApp виявився серйозною діркою в безпеці. Вчені з Віденського університету виявили вразливість, яка дозволяла практично безперешкодно парсити публічну інформацію користувачів. Через відсутність лімітів на кількість запитів під загрозою опинилася майже вся база сервісу — близько 3,5 мільярда активних профілів.
Як повідомляє портал TechRadar, лазівка дозволяла зловмисникам створювати детальні бази даних користувачів. У Meta вже відреагували на дослідження та закрили цю вразливість, оновивши алгоритми захисту від автоматичного збору даних.
Як фахівці обійшли системи захисту месенджера
Для перевірки теорії австрійські дослідники згенерували гігантський масив потенційних номерів телефонів. Загалом база налічувала понад 60 мільярдів можливих комбінацій для 200 країн світу.
Механіка збору даних виглядала так:
- Зворотний інжиніринг: вчені розібрали протоколи обміну даними месенджера та створили кастомний софт на базі відкритих клієнтів.
- Швидкісні запити: модифіковане програмне забезпечення надсилало запити безпосередньо до серверів WhatsApp зі швидкістю тисячі номерів за секунду.
- Відсутність блокувань: захисні системи додатка не реагували на підозрілу активність і не блокували IP-адреси дослідників.
- Зворотний зв’язок: сервери повертали інформацію про те, чи зареєстрований клієнт, разом із його відкритим профілем.
Незважаючи на серйозність інциденту, надіслані повідомлення та історія листування не постраждали. Ці дані надійно захищені наскрізним шифруванням (end-to-end), яке працює на пристроях користувачів.
Які дані користувачів WhatsApp вдалося зібрати дослідникам:
| Тип інформації | Рівень загрози для приватності | Опис та наслідки витоку |
|---|---|---|
| Аватар профілю | Середній | Можливість копіювання фото для створення фейкових акаунтів. |
| Текстовий статус (Bio) | Низький | Збір інформації про зайнятість чи інтереси користувача. |
| Час останньої активності | Середній | Можливість моніторингу режиму сну та розпорядку дня особи. |
| Бізнес-позначки та метадані | Низький | Визначення комерційного чи приватного статусу акаунта. |
| Відкриті ключі шифрування | Високий (теоретично) | Використовувалися для аналізу криптографічної архітектури. |
Для захисту від подібного збору інформації експерти радять обмежити відображення фото профілю та статусу в налаштуваннях приватності додатка, дозволивши бачити їх лише збереженим контактам.
Підсумок
Фахівці Віденського університету виявили вразливість у системі синхронізації контактів WhatsApp, яка дозволила їм просканувати 60 мільярдів номерів і зібрати дані близько 3,5 мільярда акаунтів. Через відсутність лімітів на кількість серверних запитів автоматизований софт обходив захист і завантажував публічні фото профілів, статуси, часові мітки та відкриті ключі шифрування. Керівництво WhatsApp підтвердило наявність уразливості та розгорнуло патч із обмеженням частоти запитів, а також наголосило, що особисті листування користувачів залишаються в повній безпеці завдяки наскрізному шифруванню.
