Исследователи кибербезопасности обнаружили уязвимость в приложении WhatsApp, которая до недавнего времени приводила к утечке номеров телефонов пользователей и их фотографий профиля без их ведома.
По словам команды из Венского университета, дефект возник из-за отсутствия ограничений на скорость запросов в инструменте "обнаружения контактов", что теоретически позволяло собирать номера телефонов большинства пользователей WhatsApp, а также фотографии профиля некоторых из них. Ученые смогли извлечь 3,5 миллиарда номеров телефонов, используя, по их словам, "простую" технологию после эксплуатации механизма WhatsApp для проверки зарегистрированных номеров.
Они объяснили, что приложение не устанавливало никаких ограничений на количество проверок, которые мог выполнить пользователь, позволяя проводить миллионы запросов в час без предупреждения или блокировки. Это позволило тестировать широкие диапазоны номеров и собирать активные учетные записи, а также их личные фотографии и описания.
Исследователи предупредили, что эта уязвимость, существовавшая как минимум с 2017 года, могла привести к "крупнейшей утечке данных в истории", если бы ее использовала злонамеренная сторона. Они отметили, что функция "обнаружения контактов", предназначенная для облегчения поиска людей через синхронизацию адресной книги, непреднамеренно открыла дверь к массовому сбору данных пользователей.
В комментарии от компании Meta, владеющей WhatsApp, подтвердилось наличие уязвимости, но было уточнено, что она возникла из-за "решения в дизайне, на последствиях которого не обратили внимания".
Нитин Гупта, вице-президент по инженерии WhatsApp, в интервью журналу Wired сказал:
«Исследование помогло проверить и укрепить новую систему защиты от автоматического сбора данных. Мы не нашли никаких доказательств злоупотребления этим путем, сообщения пользователей по-прежнему полностью зашифрованы, и исследователи не получили никаких необъявленных данных».
Meta пояснила, что устранила дефект после добавления ограничения на скорость запросов для проверки номеров в WhatsApp. Компания отметила, что раскрытые данные были «общедоступными», такими как номера телефонов и фотографии профилей, доступные всем.
В свою очередь, исследователи подтвердили, что использование ими веб-интерфейса WhatsApp позволило отправлять запросы на обнаружение контактов в огромных масштабах, что позволило собирать миллионы записей каждый час. Они также выяснили, что у 57% отслеженных учетных записей были доступны фотографии профилей, а текстовое состояние учетной записи было видимым у 29% из них.
Наиболее тревожным является то, что технология работала даже в странах, где WhatsApp запрещен, таких как Китай, Иран, Мьянма и Северная Корея, что может подвергнуть пользователей в этих странах риску.
Исследователи заявили, что они немедленно сообщили Meta о масштабе проблемы, а затем удалили базу данных после завершения исследования. Компании потребовалось около 6 месяцев для устранения уязвимости и введения новых ограничений.
