بزرگترین حفره امنیتی در واتساپ؛ اطلاعات تماس ۳.۵ میلیارد کاربر فاش شد!
تیمی از پژوهشگران اتریشی با استفاده از یک کاستی ساده در سیستم «شناسایی مخاطب» واتساپ، توانستند شمارههای تلفن حدود ۳.۵ میلیارد کاربر این اپلیکیشن را استخراج کنند. اگر این پروژه در چارچوب یک تحقیق علمی قرار نمیگرفت، ممکن بود با یکی از بزرگترین نشتهای اطلاعاتی در تاریخ روبرو شویم.
به نقل از وایرد، محققان بیان میکنند که مکانیزم سادهای که واتساپ به منظور آسانسازی فرآیند برای کاربران ایجاد کرده، به نقطه ضعفی برای این پلتفرم تبدیل شده است. این برنامه به کاربران اجازه میدهد با وارد کردن شماره تلفن، بهسرعت دریابند آیا صاحب آن شماره در واتساپ ثبتنام کرده است یا خیر.
پژوهشگران دانشگاه وین اتریش از این ویژگی بهنفع خود بهره بردند. با طراحی اسکریپتهایی که قادر به بررسی میلیونها شماره تلفن بهصورت رگباری بودند، آنها توانستند تقریباً لیست کاملی از کاربران واتساپ در سرتاسر دنیا را تدوین کنند. نکته جالب توجه این است که متا هیچ محدودیتی برای تعداد این درخواستها اعمال نکرده بود و پژوهشگران میتوانستند در هر ساعت، وضعیت نزدیک به ۱۰۰ میلیون شماره را بررسی کنند.
افشای شماره تلفن و اطلاعات کاربران واتساپ
علاوه بر استخراج شماره تلفنها، اطلاعات اضافی دیگری نیز در دسترس قرار گرفت. بر اساس یافتههای این گروه تحقیقاتی، ۵۷ درصد کاربران عکس پروفایلشان برای عموم قابل مشاهده بوده است. همچنین ۲۹ درصد از کاربران نیز متن بیوگرافی یا قسمت About آنان در دسترس عموم قرار داشت. اگرچه محققان پس از اتمام پروژه، این پایگاه داده بزرگ را حذف کردند، اما حجم بالای اطلاعات میتوانست دستمایه مناسبی برای کلاهبرداران و اسپمرها باشد.
شاید بهنظر برسد که داشتن شماره تلفن و عکس پروفایل چندان خطرناک نیست، اما ترکیب این اطلاعات میتواند عواقب جدی و خطرناکی بهدنبال داشته باشد. بهعنوان مثال، کلاهبرداران با دسترسی به نام و عکس شما میتوانند پروفایلهای جعلی ایجاد کرده و به دوستانتان پیام ارسال کنند. همچنین، در کشورهای مانند چین یا میانمار که استفاده از واتساپ ممنوع است، دولتها میتوانند با استفاده از این روش، کاربران این اپلیکیشن را شناسایی کنند.
پژوهشگران همچنین متوجه شدند که برخی حسابهای کاربری (احتمالاً حسابهای اسپم یا غیررسمی واتساپ) از کلیدهای رمزنگاری تکراری استفاده میکنند که امنیت پیامها را بهطور جدی به خطر میاندازد.
این نخستینبار نیست که متا درباره این نقص امنیتی مورد هشدار قرار میگیرد. در سال ۲۰۱۷، یک محقق هلندی بهطور خاص به همین مشکل اشاره کرد و متذکر شد که با استفاده از این روش، امکان ایجاد یک پایگاه داده وسیع از اطلاعات کاربران وجود دارد و حتی میتوان زمان آنلاین شدن آنها را رصد کرد. اما در آن زمان، متا این موضوع را نادیده گرفت و ادعا کرد که تنظیمات حریم خصوصی واتساپ طبق معمول بهدرستی عمل میکنند. حالا تحقیق تازه نشان میدهد که پس از گذشت ۸ سال، نهتنها این مشکل حل نشده، بلکه وسعت آن به ۳.۵ میلیارد کاربر نیز افزایش یافته است.
با این حال، این شرکت در ماه اکتبر با دریافت نتایج تحقیق دانشگاه وین، اقدام به تقویت سیستمهای دفاعی خود نمود. اکنون متا با محدود کردن نرخ درخواستها، مانع از بررسیهای انبوه شمارههای تلفن شده است. همچنین، سخنگوی واتساپ در بیانیهای اظهار داشت که هیچ شواهدی مبنی بر سوءاستفاده منفی از این روش پیدا نکرده و تأکید کرد که اطلاعات فاششده (مانند تصاویر پروفایل) اطلاعاتی بوده است که خود کاربران تصمیم به عمومی کردن آن گرفتهاند.
