Investigador enUniversidad de Viena descubrieron un error que les permite chupar 3.500 millones de números de teléfono registrado en WhatsApp.
Aprovechando la API Contact Discovery, una función que te permite encontrar a tus amigos por su número, pudieron realizar consultas más de 100 millones de cuentas por hora. Meta solucionó la vulnerabilidad y dio las gracias a los investigadores como parte de su programa de recompensas por fallos. Pero este ataque pone de manifiesto un problema estructural: tu número de WhatsApp nunca es realmente privado.
El error se basa en un mecanismo conocido. Para facilitar la búsqueda de contactos, WhatsApp ofrece API de descubrimiento vinculan números de teléfono y cuentas de usuario. Introduces un número, la API te dice si existe una cuenta de WhatsApp y puede mostrar la foto de perfil o el texto "Acerca de" si el usuario los ha hecho visibles. Este sistema es esencial para que la aplicación funcione, pero también abre la puerta alista masiva Probar millones de números para representar la base de usuarios.
Existen medidas de protección para evitar este tipo de ataques, limitar el número de solicitudes, detectar comportamientos sospechosos, etc.
Pero los investigadores austriacos lo han conseguido. Podrían escanear más de 100 millones de números por hora a través de la infraestructura de WhatsApp y confirma la existencia de 3.500 millones de cuentas activas distribuidos en 245 países. Toda la base mundial de usuarios.
Lo que muestra esta cartografía en profundidad
Los investigadores no se limitaron a recopilar cifras. Analizaron los datos para extraer datos estadísticos. Has creado una instantánea única del uso de WhatsApp en todo el mundo.
Primer descubrimiento: WhatsApp ha Millones de usuarios activos en países donde su uso está oficialmente prohibido. China, Irán, Birmaniamuchas regiones en las que los usuarios utilizan VPN para eludir la censura. El desglose por sistema operativo confirma el dominio de Android: Usuarios de 81% están en el sistema Google, sin embargo 19% en iOS.
Un análisis de las fotos de perfil muestra diferencias culturales marcadas. Algunos países muestran mucho las fotos personales, mientras que otros prefieren el anonimato o las imágenes genéricas. Los investigadores también compararon su base de datos con 500 millones de cifras que se dio a conocer en torno a 2021 medio siguen utilizándose cuatro años después.
Por último, el análisis de los metadatos de la cuenta (edad, número de dispositivos conectados) permite seguir la evolución de la actividad del usuario. Perfiles de utilización Entre ellos se incluyen los usuarios ocasionales, las cuentas empresariales multidispositivo y las cuentas que han sido abandonadas y luego reactivadas. Información valiosa para quien desee dirigirse a usuarios específicos.
Meta corrige, pero el problema subyacente permanece
Meta agradeció a los investigadores publicado como parte de su programa de recompensas por fallos y afirmaba haber solucionado la vulnerabilidad. La empresa afirma que ya está trabajando en ello Sistemas antiarañazos son más sólidos y que esta investigación ha permitido comprobar su eficacia. Los investigadores han borrado los datos recogidos y Meta afirma no haber observado nada. ningún uso malintencionado de error.
" Esto garantiza que los mensajes de los usuarios sigan siendo privados y seguros. Cifrado de extremo a extremo por defecto a través de WhatsApp y los investigadores no tuvieron acceso a datos no públicos ", dice la empresa. Es cierto: las conversaciones en sí no se han visto afectadas. Sin embargo, el acceso a los números de teléfono, las fotos de perfil y los metadatos de las cuentas sí se mantiene. Cuestiones de confidencialidad.
¿Cuál es la raíz del problema? Este error no es nada nuevo. Se trata de un vulnerabilidad estructural está relacionado con el funcionamiento de WhatsApp. Para permitir el descubrimiento de contactos, la aplicación necesita poder asociar números y cuentas. Y en cuanto una API permite esta asociación, puede explotarse a gran escala. Las protecciones existen, pero siguen ahí puede evitarse con determinación y recursos suficientes.
Meta puede reforzar sus defensas. Sin embargo, mientras WhatsApp utilice números de teléfono como identificador principal, este tipo de ataques seguirán produciéndose. teóricamente posible. Otros servicios de mensajería como señal O telegrama Me enfrento al mismo dilema. ¿La solución? Cambiar a identificadores anónimos separado del número de teléfono. Sin embargo, esto dificultaría mucho el reconocimiento de los contactos, una de las razones del éxito de WhatsApp.
Acompáñenos en el espectáculo cada dos miércoles de 17.00 a 19.00 horas ABIERTO producido por Frandroid Y Numéroma ¡! Noticias tecnológicas, entrevistas, consejos y análisis... ¡sintonice en directo en Twitch o la repetición en YouTube!