Цивилизация
Исследование специалистов Венского университета выявило масштабную уязвимость в механизмах конфиденциальности WhatsApp (Компания Meta Platforms Inc.* признана экстремистской организацией), которая на протяжении восьми лет позволяла автоматически собирать данные практически о всех пользователях сервиса. Исследователям удалось сформировать базу из 3,5 млрд номеров, а также получить фотографии профилей и текстовые статусы значительной части учетных записей — без взлома и обхода системы безопасности, сообщает SecurityLab.
Ключевой фактор, сделавший подобный сбор возможным, — конструкция функции поиска контактов, встроенная в WhatsApp. Приложение автоматически уведомляет пользователя о том, зарегистрирован ли введенный номер в сервисе, а также отображает имя и часть профиля. По данным университета, отсутствие ограничений на количество запросов в веб-версии WhatsApp позволило за считанные часы перебрать глобальные диапазоны номеров и сопоставить их с существующими аккаунтами.
Согласно отчету, для 57% собранных записей удалось получить изображения профилей, для трети — текстовые статусы. Исследователи подчеркивают, что подобная база, если бы она попала в открытый доступ, стала бы одной из крупнейших в истории по объему частичных персональных данных.
Ученые сообщили о проблеме Meta (признана в России экстремистской и запрещена) весной, однако уязвимость оставалась неисправленной до октября. Это означает, что сопоставимая по масштабу операция могла быть проведена злоумышленниками — от спамеров до государственных структур, заинтересованных в мониторинге активности граждан. Исследователи также напомнили, что на аналогичную проблему указывали еще в 2017 году, однако тогда компания утверждала, что подобное поведение системы соответствует стандартным настройкам конфиденциальности.
Сравнение текущих результатов с данными прошлых лет показывает существенный рост рисков: если в 2017 году речь шла о десятках миллионов потенциально доступных профилей, сегодня аудитория WhatsApp превышает треть населения мира. При этом телефонный номер, на который опирается архитектура сервиса, становится предсказуемым и легко перебираемым идентификатором, что делает невозможным эффективную защиту без внедрения дополнительных технических ограничений.
Анализ собранных данных выявил значительные различия по странам. В США 44% из 137 млн профилей имели открытые фотографии, в Индии — 62% из 750 млн, в Бразилии — 61% из 206 млн. Чем выше проникновение сервиса, тем реже пользователи меняют стандартные настройки конфиденциальности.
Отдельное внимание исследователей привлекли миллионы номеров из стран, где WhatsApp официально заблокирован. В Китае было обнаружено 2,3 млн записей, в Мьянме — 1,6 млн. По мнению экспертов, такие данные могут использоваться местными властями для отслеживания пользователей, обходящих запрет.
Дополнительную тревогу вызвали аномалии в работе системы сквозного шифрования: исследователи обнаружили сотни повторяющихся ключей, что может свидетельствовать о массовом использовании неофициальных клиентов WhatsApp.
По итогам исследования команда делает вывод, что уязвимость не ограничивается WhatsApp, а затрагивает целый класс сервисов, где телефонный номер выступает основным идентификатором. Meta уже тестирует альтернативный механизм с внутренними именами пользователей, и переход к такой модели, по мнению экспертов, может стать необходимым шагом для снижения рисков массового сбора данных.
Ранее Telegram призвал пользователей привязать к аккаунту электронную почту.