Sistem  napravljen za lakše otkrivanje kontakata putem telefonskih brojeva otvorio je vrata kriminalcima koji iz korisničkih statusa i kontaktnih kartica mogu izvući puno više nego što bi mnogi željeli. 

Foto: Ilustracija/Pixabay.com

Kritičan sigurnosni propust u WhatsAppu, timu je istraživača omogućio da razotkriju telefonske brojeve 3,5 milijarde korisnika, što predstavlja jedan od najvećih dokumentiranih curenja podataka dosad. Slabost proizlazi iz funkcije otkrivanja kontakata, a Meta je na nju upozoravana još od 2017., piše Tportal.

Istraživači sa Univerziteta u Beču pokazali su kako je moguće  ispitivati milijarde potencijalnih brojeva i potvrđivati aktivne račune brzinom većom od 100 miliona brojeva na sat i to bez ikakvih ograničenja. Njihova studija provedena između  2024. i 2025. koristila je alat libphonegen za generiranje realistično strukturiranih brojeva u 245 država. Putem modifikovanog  otvorenog XMPP klijenta došli su i do javno dostupnih podataka profila, vremena aktivnosti te kriptografskih ključeva, uključujući identity i prekey, za 56,7 posto računa.

WhatsAppov sistem  za otkrivanje kontakata dizajniran je radi praktičnosti, ali nedostatak učinkovitog ograničavanja upita omogućio je automatizirano prikupljanje podataka velikih razmjera. Pet autentifikovanih računa na jednom univerzitskom  serveru bilo je dovoljno da u manje od šest mjeseci obradi 63 milijarde potencijalnih brojeva i identificira 3,5 milijarde aktivnih.

Izloženi podaci i sigurnosni rizici

Za 29,3 posto korisnika javni 'About' sadržaji otkrili su osjetljive informacije, uključujući politička stajališta, vjerska uvjerenja i poveznice na druge profile. Posebnu zabrinutost izazvala je pojava 2,9 miliiona slučajeva ponovne upotrebe kriptografskih ključeva ključeva. U jednom ekstremnom primjeru dvadeset američkih brojeva dijelilo je ključ sastavljen od nula, što upućuje na pogrešne implementacije ili potencijalne prijevare. Takav nedostatak jedinstvenosti ključeva mogao bi otvoriti mogućnost narušavanja enkripcije na oba kraja putem neautoriziranih klijenata.

Najgora stvar oko ove priče je što je problem godinama bio poznat, a Meta oko njega sve dosad nije napravila apsolutno ništa. Eksponirani podaci dijelom se preklapaju s prethodnim curenjima, poput onog na Facebooku iz 2021., gdje je gotovo polovina tada objavljenih brojeva i dalje bila aktivna na WhatsAppu, što povećava izloženost različitim oblicima zlouporabe, uključujući prevare, ciljane napadačke kampanje.

Dodatni rizik postoji za korisnike u zemljama gdje je WhatsApp zabranjen, uključujući Kinu, Iran i Sjevernu Koreju, zbog mogućnosti državnog nadzora.