Un grup de cercetători de la Universitatea din Viena și SBA Research a demonstrat ceva ce pare aproape absurd. Folosind o vulnerabilitate în WhatsApp au reușit să genereze, practic, o „carte de telefon globală” cu 3.5 miliarde de utilizatori. Pare că aceștia au putut verifica ce numere de telefon folosește aplicația și au extras metadatele publice precum poze de profil, statusul și ultima activitate online. Mai jos avem detalii!
Din fericire, e vorba despre hackeri etici ce au expus vulnerabilitatea și au trimis date spre Meta pentru a fi rezolvată. Interesant e că totul a fost descoperit printr-o funcție aparent banală și anume „Contact Discovery”, care ar trebui să verifice ce contacte din agendă folosesc WhatsApp. Problema e că API-ul respectiv nu avea limitator real de interogări. Asta face posibilă verificarea a 100 de milioane de numere de telefon pe oră.
Pe lângă existența conturilor, cercetătorii au obținut și o serie de statistici interesante: 81% dintre utilizatori sunt pe Android, iar restul de 19% pe iOS. De asemenea, s-a constatat că 58% dintre numerele de telefon expuse în uriașa breșă de date Facebook din 2021 sunt încă active în WhatsApp.
Și mai bizar este că în țări unde WhatsApp este cenzurat sau blocat (cum e China), au fost identificate peste 2,3 milioane de conturi active. Ba chiar și în Coreea de Nord au fost găsite cinci numere legate de WhatsApp.
Meta a închis vulnerabilitatea între timp, introducând limitări stricte de acces la API. Dar chiar și așa, rămâne neliniștitor faptul că astfel de metode ar fi putut fi deja folosite în trecut, fără a lăsa urme. Un detaliu tehnic și mai neliniștitor: cercetătorii au descoperit grupuri de conturi care împart aceeași cheie publică de acces.
Asta indică utilizarea unor aplicații modificate, adesea întâlnite în click farms sau la boți de marketing, care pot compromite complet sistemul de securitate end-to-end pe care se bazează WhatsApp.
