Výskumníci z Univerzity vo Viedni a organizácie SBA Research odhalili rozsiahlu zraniteľnosť v aplikácii WhatsApp, ktorá dlhé roky umožňovala tiché a systematické zisťovanie existencie účtov na globálnej úrovni. Slabé miesto sa ukázalo v bežnom mechanizme vyhľadávania kontaktov, ktorý používa telefónne čísla z adresára na identifikovanie používateľov služby.
Hromadné zisťovanie účtov
Podľa výsledkov výskumu bolo možné cez infraštruktúru WhatsAppu odosielať viac než 100 miliónov dotazov za hodinu. Tím tak dokázal potvrdiť existenciu viac ako 3,5 miliardy účtov v 245 krajinách, čo je doposiaľ najrozsiahlejšie zdokumentované mapovanie používateľskej základne tejto aplikácie. Hlavný autor štúdie, Gabriel Gegenhuber, k tomu uviedol, že „za normálnych okolností by systém nemal reagovať na taký extrémny počet požiadaviek, najmä ak pochádzajú z jedného zdroja. Toto správanie odhalilo skrytú chybu, ktorá nám umožnila prakticky neobmedzené dotazovanie servera a globálne mapovanie používateľských údajov.“
Mechanizmus pritom sprístupňoval iba verejne dostupné metadáta ako telefónne číslo, verejný šifrovací kľúč, časové pečiatky a voliteľné profilové fotografie. Aj z takto obmedzeného súboru informácií však výskumníci dokázali odvodiť operačný systém zariadenia, približný vek účtu či počet pripojených sprievodných zariadení. To podľa autorov potvrdzuje, že aj minimálne množstvo metadát môže pri dostatočnom rozsahu prezradiť citlivé informácie.
Metadáta odhalili globálne vzorce správania
Analýza ukázala, že milióny účtov sú aktívne aj v krajinách, kde je WhatsApp oficiálne zakázaný, medzi nimi Čína, Irán a Mjanmarsko. Výskumníci zároveň zaznamenali výraznú dominanciu platformy Android s podielom 81 %, zatiaľ čo iOS tvorí 19 %. Významné rozdiely sa objavili aj v správaní používateľov pri zdieľaní profilových fotografi.
Malá časť účtov vykazovala opätovné použitie kryptografických kľúčov, čo môže podľa autorov signalizovať používanie neoficiálnych klientov alebo potenciálne podvodné aktivity. Významným zistením bolo tiež to, že takmer 50 % telefónnych čísel z úniku Facebooku v roku 2021, ktorý obsahoval približne 500 miliónov záznamov, zostalo aktívnych aj v čase výskumu. To podľa autorov zvyšuje riziko dlhodobého zneužívania týchto čísel pri podvodných kampaniach a spamových volaniach.
Výskumný tím zdôraznil, že počas projektu nepracoval so žiadnym obsahom správ a všetky získané dáta boli pred publikovaním bezpečne zmazané. Spoluautor Aljosha Judmayer pripomenul, že „end-to-end šifrovanie chráni obsah komunikácie, no nezakrýva metadáta, ktoré môžu pri rozsiahlej analýze odhaliť ďalšie informácie.“
Reakcia WhatsAppu a širší význam zistení
Autor štúdie Gabriel Gegenhuber upozornil, že „aj dlhodobo dôveryhodné systémy môžu obsahovať dizajnové alebo implementačné chyby s reálnymi následkami.“ Podľa neho to zdôrazňuje dôležitosť nepretržitého nezávislého bezpečnostného výskumu.
WhatsApp spoluprácu s výskumníkmi ocenil. Nitin Gupta, viceprezident inžinierstva WhatsAppu, uviedol, že „ spoločnosť je vďačná výskumníkom za ich zodpovedný prístup, ktorým pomohli otestovať nové obranné mechanizmy a potvrdil ich účinnosť. Obsah správ zostal po celý čas bezpečný vďaka predvolenému end-to-end šifrovaniu.“
Spoločnosť Meta následne zaviedla nové obmedzenia počtu požiadaviek, ako aj prísnejšie nastavenia viditeľnosti profilových údajov.
