Forscher desUniversität Wien einen Fehler entdeckt, der es ihnen ermöglicht, zu saugen 3,5 Milliarden Telefonnummern auf WhatsApp gespeichert.
Durch die Nutzung der Contact Discovery APIs, jener Funktion, die es Ihnen ermöglicht, Ihre Freunde anhand ihrer Nummer zu finden, konnten sie Abfragen durchführen über 100 Millionen Konten pro Stunde. Meta hat die Schwachstelle behoben und sich im Rahmen seines Bug-Bounty-Programms bei den Forschern bedankt. Dieser Angriff macht jedoch ein strukturelles Problem deutlich: Ihre WhatsApp-Nummer ist nie wirklich privat.
Der Fehler basiert auf einem bekannten Mechanismus. Um die Suche nach Kontakten zu erleichtern, bietet WhatsApp Entdecker-API Telefonnummern und Benutzerkonten miteinander verknüpfen. Sie geben eine Nummer ein, die API sagt Ihnen, ob ein WhatsApp-Konto existiert, und kann das Profilfoto oder den Text "Über" anzeigen, wenn der Nutzer sie sichtbar gemacht hat. Dieses System ist für das Funktionieren der Anwendung unerlässlich, aber es öffnet auch die TürMassenliste : Testen Sie Millionen von Zahlen, um die Nutzerbasis darzustellen.
Es gibt Schutzmaßnahmen, um diese Art von Angriffen zu verhindern, die Anzahl der Anfragen zu begrenzen, verdächtiges Verhalten zu erkennen etc.
Doch die österreichischen Forscher haben sie umgangen. Sie könnten scannen über 100 Millionen Nummern pro Stunde über die WhatsApp-Infrastruktur und bestätigt die Existenz von 3,5 Milliarden aktive Konten verteilt in 245 Länder. Die gesamte weltweite Nutzerbasis.
Was diese gründliche Kartierung zeigt
Die Forscher begnügten sich nicht damit, Zahlen zu sammeln. Sie analysierten die zu extrahierenden Daten statistische Informationen. Sie haben ein einzigartiges Bild der weltweiten Nutzung von WhatsApp erstellt.
Erste Entdeckung: WhatsApp hat Millionen von aktiven Nutzern in Ländern, in denen seine Verwendung offiziell verboten ist. China, Iran, Burmaviele Regionen, in denen die Nutzer VPNs verwenden, um die Zensur zu umgehen. Die Verteilung nach Betriebssystemen bestätigt die Dominanz von Android : 81% der Nutzer sind auf dem Google-System, jedoch 19% auf iOS.
Die Analyse der Profilbilder zeigt kulturelle Unterschiede markiert. Einige Länder zeigen weitgehend persönliche Fotos, andere bevorzugen Anonymität oder generische Bilder. Die Forscher verglichen ihre Datenbank auch mit 500 Millionen Nummern die um 2021 offengelegt wurde Hälfte werden auch vier Jahre später noch verwendet.
Schließlich ermöglicht die Analyse der Metadaten des Kontos (Alter, Anzahl der verbundenen Geräte) eine Nachverfolgung Nutzungsprofile Gelegenheitsnutzer, Geschäftskonten mit mehreren Geräten, Konten, die verlassen und dann wieder aktiviert wurden. Wertvolle Informationen für jeden, der gezielt bestimmte Nutzer ansprechen möchte.
Meta behebt, aber das zugrunde liegende Problem bleibt bestehen
Meta dankte den Forschern die im Rahmen ihres Bug-Bounty-Programms veröffentlicht wurde, und behauptete, die Sicherheitslücke behoben zu haben. Das Unternehmen sagt, dass es bereits daran arbeitet Anti-Kratzer-Systeme robuster sind und dass diese Forschungen ihre Wirksamkeit getestet haben. Die Forscher haben die gesammelten Daten gelöscht und Meta behauptet, nichts beobachtet zu haben keine böswillige Verwendung des Fehlers.
" Dank dessen blieben die Nachrichten der Nutzer privat und sicher End-to-End-Verschlüsselung standardmäßig von WhatsApp und keine nicht-öffentlichen Daten waren für Forscher zugänglich ", erklärt das Unternehmen. Es stimmt: Die Konversationen selbst waren nicht betroffen. Der Zugriff auf Telefonnummern, Profilfotos und Metadaten des Kontos bleibt jedoch bestehen Problem mit der Privatsphäre.
Die Wurzel des Problems? Dieser Fehler ist nichts Neues. Er ist ein strukturelle Anfälligkeit ist mit der Funktionsweise von WhatsApp verbunden. Um die Kontaktentdeckung zu aktivieren, muss die Anwendung in der Lage sein, Nummern und Konten zu verknüpfen. Und sobald eine API diese Verknüpfung ermöglicht, kann sie in großem Umfang ausgenutzt werden. Es gibt Schutzmechanismen, aber sie sind immer noch da umgehbar mit genügend Entschlossenheit und Ressourcen.
Meta kann seine Verteidigung stärken. Solange WhatsApp jedoch Telefonnummern als Hauptidentifikator verwendet, werden diese Arten von Angriffen weiterhin vorkommen. theoretisch möglich. Andere Nachrichtendienste wie Signal Oder Telegramm stehe ich vor demselben Dilemma. Die Lösung? Wechseln zu anonyme Identifikatoren getrennt von der Telefonnummer. Dies würde jedoch das Erkennen von Kontakten erheblich erschweren - einer der Gründe für den Erfolg von WhatsApp.
Begleiten Sie uns bei der Show jeden zweiten Mittwoch von 17:00 bis 19:00 Uhr ÖFFNEN produziert von Frandroid Und Numeroma ! Tech-Nachrichten, Interviews, Tipps und Analysen... Sehen Sie sich die Live-Übertragung auf Twitch oder die Wiederholung auf YouTube an!