WhatsApp to komunikator, z którego korzysta ponad jedna trzecia ludzkości. Teraz okazuje się, że przez lata miał niebezpieczną podatność. Zespół badaczy z Uniwersytetu Wiedeńskiego oraz SBA Research pokazał, że wykorzystując zwykły mechanizm wyszukiwania kontaktów, można potwierdzić istnienie aktywnych kont wraz z numerami telefonów i danymi profilowymi.

Na czym polega słaby punkt aplikacji WhatsApp?

Cała historia zaczęła się jako klasyczny eksperyment badawczy, a szybko zaczęła przypominać scenariusz jednego z największych możliwych wycieków danych w historii.

Zespół z Wiednia, pracujący nad bezpieczeństwem komunikatorów, postanowił sprawdzić, jak daleko da się zajść, korzystając wyłącznie z oficjalnego mechanizmu odkrywania kontaktów w aplikacji WhatsApp. Funkcja ta porównuje książkę adresową użytkownika z bazą serwisu i zwraca informację o tym, które numery mają konto w komunikatorze.

Badacze, zamiast kilku numerów z prywatnej książki telefonicznej, postanowili wygenerować olbrzymią liczbę numerów telefonów i za ich pomocą masowo pytać serwery WhatsAppa, czy pod danym numerem istnieje konto.

Kluczowym szczegółem jest to, że przez długi czas aplikacja nie nakładała praktycznie żadnych sensownych ograniczeń na tempo takich zapytań. Według opisu badaczy, mogli sprawdzać ponad 100 milionów numerów na godzinę, i to z jednego serwera uniwersyteckiego, używając zaledwie kilku zwykłych kont WhatsAppa. System nie blokował ani kont, ani adresu IP, co z punktu widzenia bezpieczeństwa jest oczywiście czerwoną flagą.

Nadużycie tego mechanizmu pozwoliło potwierdzić ponad 3,5 miliarda aktywnych kont w 245 krajach. Badanie dało wgląd w globalne wzorce użytkowników WhatsAppa, takie jak światowy rozkład kont między systemami Android (81%) i iOS (19%), regionalne różnice w zachowaniach związanych z prywatnością, np. używanie publicznych zdjęć profilowych lub opisów w sekcji bio, oraz różnice w aktywności kont i tempie wzrostu liczby użytkowników w poszczególnych krajach.

Warto zaznaczyć, że badacze nie złamali szyfrowania wiadomości. Założyli, że będą pracować wyłącznie na danych, które WhatsApp i tak udostępnia każdej osobie, znającej dany numer telefonu. To, co zebrali, wygląda jednak groźnie, gdy zestawi się to z liczbą użytkowników.

Odpowiedź Mety na wykrytą podatność w aplikacji WhatsApp

Meta, po otrzymaniu informacji o tej sytuacji, wprowadziła bardziej rygorystyczne limity tempa zapytań i zasady widoczności danych profilowych. Firma utrzymywała, że ujawnione dane miały już charakter publiczny, a treść wiadomości pozostawała zabezpieczona szyfrowaniem i nie została naruszona.

Mimo to badacze wskazują, że możliwość stworzenia globalnej bazy użytkowników zawierającej ich dane stanowi poważne zagrożenie dla bezpieczeństwa, zwłaszcza w państwach o charakterze represyjnym.

Eksperyment trwał kilka miesięcy i w tym czasie badacze zbudowali nieformalny spis powszechny WhatsAppa w postaci bazy obejmującej ponad 3,5 miliarda aktywnych profili. Sam fakt, że da się to zrobić, i to bez żadnego włamania, daje do myślenia – skoro mogli to zrobić naukowcy, ktoś mniej uczciwy też może.