Ερευνητές του Πανεπιστημίου της Βιέννης και του ερευνητικού κέντρου SBA Research εντόπισαν σοβαρό κενό ασφαλείας στο WhatsApp που έδινε πρόσβαση σε στοιχεία 3,5 δισεκατομμυρίων λογαριασμών χρηστών παγκοσμίως. Η ΜΕΤΑ, που είναι ιδιοκτήτρια της εφαρμογής, συνεργάστηκε με τους επιστήμονες και έχει ήδη πάρει μέτρα για να κλείσει το πρόβλημα.
Το ελάττωμα βρισκόταν στον μηχανισμό ανακάλυψης επαφών της πλατφόρμας. Αυτός ο μηχανισμός χρησιμοποιεί το βιβλίο διευθύνσεων του κάθε χρήστη για να βρίσκει άλλους χρήστες μέσω του αριθμού τηλεφώνου τους. Οι ερευνητές κατάφεραν να αναζητήσουν πάνω από 100 εκατομμύρια αριθμούς τηλεφώνου ανά ώρα, επιβεβαιώνοντας ενεργούς λογαριασμούς σε 245 χώρες.
Πώς λειτουργούσε η παραβίαση
“Κανονικά, ένα σύστημα δεν θα έπρεπε να ανταποκρίνεται σε τόσο μεγάλο αριθμό αιτημάτων σε τόσο σύντομο χρονικό διάστημα”, εξηγεί ο επικεφαλής της έρευνας Γκάμπριελ Γκεγκενχούμπερ. Το ελάττωμα επέτρεπε την αποστολή απεριόριστων αιτημάτων προς τον διακομιστή, οδηγώντας σε μαζική συλλογή δεδομένων χρηστών.
Τα στοιχεία που συλλέχθηκαν περιελάμβαναν αριθμό τηλεφώνου, δημόσια κλειδιά, χρονικές σημάνσεις και δημόσιες εικόνες προφίλ. Από αυτά, οι ερευνητές μπόρεσαν να εξάγουν πληροφορίες για το λειτουργικό σύστημα, την ηλικία του λογαριασμού και τον αριθμό συνδεδεμένων συσκευών.
Η έρευνα αποκάλυψε εκατομμύρια ενεργούς λογαριασμούς σε χώρες όπου το WhatsApp έχει απαγορευθεί, όπως η Κίνα, το Ιράν και η Μιανμάρ. Επίσης καταγράφηκε αναλογία συσκευών Android 81% έναντι 19% για iOS.
Τα μηνύματα παρέμειναν ασφαλή
Οι ερευνητές διευκρίνισαν ότι δεν είχαν πρόσβαση στο περιεχόμενο των μηνυμάτων, το οποίο παραμένει κρυπτογραφημένο από άκρο σε άκρο. Όλα τα συλλεχθέντα στοιχεία διαγράφηκαν μετά την ολοκλήρωση της μελέτης.
Ο επικεφαλής μηχανικός του WhatsApp, Νίτιν Γκούπτα, ευχαρίστησε τους ερευνητές για τη συνεργασία και διαβεβαίωσε ότι η εταιρεία έχει εφαρμόσει αντίμετρα. Τα αποτελέσματα της έρευνας θα παρουσιαστούν στο Συμπόσιο Ασφάλειας Δικτύου το 2026.
