Vulnerabilitate majoră WhatsApp: ce trebuie să știi

vulnerabilitate WhatsApp

Cuprins:

Timp de citit: 2 minutes

WhatsApp, una dintre cele mai folosite aplicații de mesagerie din lume, se confruntă cu o problemă gravă de securitate care a expus 3,5 miliarde de numere de telefon ale utilizatorilor din întreaga lume. O echipă de cercetători austrieci a descoperit o vulnerabilitate majoră. Printr-o metodă extrem de simplă – introducerea automată a unui număr mare de combinații de numere de telefon în sistemul de contact discovery – se poate afla dacă un număr folosește WhatsApp, precum și profilul public al utilizatorului: poză, nume și textul din profil.

Ce s-a întâmplat cu WhatsApp?

WhatsApp permite adăugarea rapidă a unui contact: introduci numărul de telefon, iar aplicația îți arată dacă persoana folosește platforma și ce informații publice are. Același mecanism, folosit la scară uriașă, a devenit însă o metodă de colectare a datelor personale.

Cercetătorii de la Universitatea din Viena au introdus zeci de miliarde de combinații de numere, iar rezultatul a fost șocant:

3,5 miliarde de numere de telefon extrase
57% dintre profiluri aveau fotografii publice
29% aveau text public în zona de status “about”.

Ei au reușit să verifice aproximativ 100 de milioane de numere pe oră, fără ca WhatsApp să limiteze aceste cereri. Această lipsă de limitare a permis obținerea unei baze de date gigantice cu utilizatori reali.

De ce această vulnerabilitate este o problemă gravă?

Expunerea numerelor de telefon poate facilita:

atacuri de phishing și scam
monitorizarea utilizatorilor din țări unde WhatsApp este interzis
identificarea persoanelor prin recunoaștere facială folosind pozele de profil
crearea de baze de date pentru vânzări sau spam

De exemplu, cercetătorii au găsit 2,3 milioane de utilizatori în China și 1,6 milioane în Myanmar, deși WhatsApp este interzis oficial în aceste state. Autoritățile ar fi putut folosi datele pentru a identifica utilizatori “ilegali”.

Ce spune Meta și ce s-a remediat?

Meta (compania-mamă WhatsApp) a fost informată în aprilie 2024. Abia în octombrie au fost implementate măsuri mai stricte de control al traficului (rate-limiting). Meta a afirmat că nu există dovezi că acest exploit a fost folosit în scopuri malicioase.

Totuși, cercetătorii afirmă că nu au întâlnit nicio protecție reală și că problema era cunoscută din 2017. Atunci, un alt cercetător a raportat aceeași vulnerabilitate dar Meta nu a considerat-o eligibilă pentru bug bounty.

Probleme suplimentare: criptarea și securitatea

Pe lângă numerele de telefon, au fost analizate și cheile criptografice ale conturilor WhatsApp. Au fost găsite:

chei duplicate folosite de mai multe conturi
20 de numere din SUA cu o cheie “zero” – extrem de suspect
indicii că anumite aplicații WhatsApp neoficiale pot avea criptare defectuoasă

Aceste date pot indica activități ilegale sau tentative de fraudă în masă.

De ce este folosit numărul de telefon ca identificator?

Cercetătorii subliniază un aspect crucial: numerele de telefon nu sunt suficient de “aleatorii” pentru a servi ca identificatori siguri. Dacă un serviciu are peste o treime din populația lumii ca utilizatori, folosirea numărului de telefon drept ID devine un risc. WhatsApp testează deja opțiunea de username, care ar putea fi o soluție mai sigură.

Cum îți protejezi datele pe WhatsApp?

Intră în Setări → Confidențialitate și modifică:

Cine poate vedea poza de profil → Doar contactele
Cine poate vedea statusul “about” → Doar contactele
Dezactivează “Last Seen” și “Online” pentru necunoscuți
Nu folosi aplicații WhatsApp neoficiale.

O vulnerabilitate cu risc major

Această vulnerabilitate este unul dintre cele mai mari riscuri de expunere a datelor personale din istorie. Chiar dacă Meta a remediat problema, nu există garanția că alți actori nu au profitat deja de ea. Siguranța digitală depinde, în final, de opțiunile noastre de confidențialitate.

Protejează-ți profilul. Verifică setările acum.

Surse: wired.com, github.com