Критичен безбедносен пропуст во WhatsApp му овозможи на тимот истражувачи да ги открие телефонските броеви на 3,5 милијарди корисници, што претставува едно од најголемите документирани протекувања на податоци досега. Слабоста произлегува од функцијата за откривање контакти, а Мета е предупредена за тоа уште од 2017 година, пишува Tportal.
Истражувачи од Универзитетот во Виена покажаа како е можно систематски да се испитаат милијарди потенцијални броеви и да се потврдат активни сметки со брзина од повеќе од 100 милиони броеви на час без никакви ограничувања. Нивната студија, спроведена помеѓу декември 2024 и април 2025 година, ја користеше алатката libphonegen за генерирање реално структурирани бројки во 245 земји. Преку модифициран отворен XMPP клиент, тие добија јавно достапни податоци за профилот, време на активност и криптографски клучеви, вклучувајќи идентитет и претходен клуч, за 56,7 проценти од сметките.
Системот за откривање контакти на WhatsApp беше дизајниран за погодност, но недостатокот на ефикасно ограничување на барањата овозможи автоматско собирање податоци на големи размери. Пет автентицирани сметки на еден универзитетски сервер беа доволни за обработка на 63 милијарди потенцијални броеви и идентификување на 3,5 милијарди активни за помалку од шест месеци.
Откриени податоци и безбедносни ризици
За 29,3 проценти од корисниците, јавната содржина „За нас“ откри чувствителни информации, вклучувајќи политички ставови, религиозни верувања и врски до други профили. Од особена загриженост беше појавата на 2,9 милиони случаи на повторна употреба на криптографски клуч. Во еден екстремен пример, дваесет американски броеви делеа клуч составен од нули, што укажува на погрешни имплементации или потенцијална измама. Таквиот недостаток на уникатност на клучот може да отвори можност за кршење на енкрипцијата на двата краја од страна на неовластени клиенти.
Најлошото нешто во врска со оваа приказна е што проблемот е познат со години, а Мета не направи апсолутно ништо во врска со тоа. Откриените податоци делумно се преклопуваат со претходните протекувања, како што е она на Facebook во 2021 година, каде што речиси половина од броевите објавени во тоа време беа сè уште активни на WhatsApp, зголемувајќи ја изложеноста на различни форми на злоупотреба, вклучувајќи измама, целни кампањи за напади.
Дополнителен ризик постои за корисниците во земјите каде што WhatsApp е забранет, вклучувајќи ги Кина, Иран и Северна Кореја, поради можноста за владин надзор.