Ευπάθεια ασφαλείας του WhatsApp ανακαλύφθηκε από ερευνητές
Credit: Unsplash/CC0 Public Domain IT-Security Ερευνητές από το Πανεπιστήμιο της Βιέννης και την SBA Research εντόπισαν και αποκάλυψαν υπεύθυνα μια μεγάλη αδυναμία απορρήτου στον μηχανισμό εντοπισμού επαφών του WhatsApp που επέτρεψε την απαρίθμηση 3,5 δισεκατομμυρίων λογαριασμών. Σε συνεργασία με τους ερευνητές, η Meta έχει από τότε ασχοληθεί και μετριάσει το ζήτημα. Η μελέτη υπογραμμίζει τη σημασία της συνεχούς, ανεξάρτητης έρευνας για την ασφάλεια σε ευρέως χρησιμοποιούμενες πλατφόρμες επικοινωνίας και υπογραμμίζει τους κινδύνους που συνδέονται με τη συγκέντρωση των υπηρεσιών άμεσων μηνυμάτων. Η προεκτύπωση της μελέτης έχει πλέον κυκλοφορήσει στο GitHub και τα αποτελέσματα θα παρουσιαστούν το 2026 στο Συμπόσιο Ασφάλειας Δικτύων και Κατανεμημένων Συστημάτων (NDSS). Ο μηχανισμός εντοπισμού επαφών του WhatsApp μπορεί να χρησιμοποιήσει το βιβλίο διευθύνσεων ενός χρήστη για να βρει άλλους χρήστες του WhatsApp με τον αριθμό τηλεφώνου τους. Χρησιμοποιώντας τον ίδιο υποκείμενο μηχανισμό, οι ερευνητές απέδειξαν ότι ήταν δυνατό να αναζητηθούν περισσότεροι από 100 εκατομμύρια τηλεφωνικοί αριθμοί ανά ώρα μέσω της υποδομής του WhatsApp, επιβεβαιώνοντας περισσότερους από 3,5 δισεκατομμύρια ενεργούς λογαριασμούς σε 245 χώρες. “Κανονικά, ένα σύστημα δεν θα έπρεπε να ανταποκρίνεται σε τόσο μεγάλο αριθμό αιτημάτων σε τόσο σύντομο χρονικό διάστημα – ιδιαίτερα όταν προέρχεται από μία μόνο πηγή”, εξηγεί ο επικεφαλής συγγραφέας Gabriel Gegenhuber από το Πανεπιστήμιο της Βιέννης. “Αυτή η συμπεριφορά αποκάλυψε το υποκείμενο ελάττωμα, το οποίο μας επέτρεψε να εκδώσουμε ουσιαστικά απεριόριστα αιτήματα στον διακομιστή και, με αυτόν τον τρόπο, να χαρτογραφήσουμε δεδομένα χρήστη σε όλο τον κόσμο.” Τα προσβάσιμα στοιχεία δεδομένων που χρησιμοποιούνται στη μελέτη είναι τα ίδια που είναι δημόσια για οποιονδήποτε γνωρίζει τον αριθμό τηλεφώνου ενός χρήστη και αποτελούνται από: αριθμό τηλεφώνου, δημόσια κλειδιά, χρονικές σημάνσεις και, εάν έχει οριστεί ως δημόσια, κείμενο και εικόνα προφίλ. Από αυτά τα σημεία δεδομένων, οι ερευνητές μπόρεσαν να εξαγάγουν πρόσθετες πληροφορίες, οι οποίες τους επέτρεψαν να συμπεράνουν το λειτουργικό σύστημα ενός χρήστη, την ηλικία του λογαριασμού, καθώς και τον αριθμό των συνδεδεμένων συνοδευτικών συσκευών. Η μελέτη δείχνει ότι ακόμη και αυτός ο περιορισμένος όγκος δεδομένων ανά χρήστη μπορεί να αποκαλύψει σημαντικές πληροφορίες, τόσο σε μακροσκοπικό όσο και σε μεμονωμένο επίπεδο. Η μελέτη αποκάλυψε επίσης μια σειρά από ευρύτερες γνώσεις: Εκατομμύρια ενεργοί λογαριασμοί WhatsApp εντοπίστηκαν σε χώρες όπου η πλατφόρμα ήταν επίσημα απαγορευμένη, συμπεριλαμβανομένης της Κίνας, του Ιράν και της Μιανμάρ. Πληροφορίες σε επίπεδο πληθυσμού σχετικά με τη χρήση της πλατφόρμας, όπως η παγκόσμια διανομή συσκευών Android (81%) έναντι iOS (19%), περιφερειακές διαφορές στη συμπεριφορά απορρήτου (π.χ. χρήση δημόσιων εικόνων προφίλ ή tagline “σχετικά”) και παραλλαγές στην αύξηση των χρηστών μεταξύ των χωρών. Ένας μικρός αριθμός περιπτώσεων έδειξε επαναχρησιμοποίηση κρυπτογραφικών κλειδιών σε διαφορετικές συσκευές ή αριθμούς τηλεφώνου, υποδεικνύοντας πιθανές αδυναμίες σε μη επίσημους πελάτες WhatsApp ή δόλια χρήση. Σχεδόν οι μισοί από όλους τους αριθμούς τηλεφώνου που εμφανίστηκαν στη διαρροή δεδομένων του Facebook για 500 εκατομμύρια τηλεφωνικούς αριθμούς το 2021 (που προκλήθηκαν από ένα περιστατικό απόξεσης το 2018) εξακολουθούσαν να είναι ενεργοί στο WhatsApp. Αυτό υπογραμμίζει τους διαρκείς κινδύνους για αριθμούς που διέρρευσαν (π.χ. στοχοποίηση σε κλήσεις απάτης) που σχετίζονται με τέτοια ανοίγματα. Η μελέτη δεν περιελάμβανε πρόσβαση σε περιεχόμενο μηνυμάτων και δεν δημοσιεύθηκαν ή κοινοποιήθηκαν προσωπικά δεδομένα. Όλα τα δεδομένα που ανακτήθηκαν διαγράφηκαν από τους ερευνητές πριν από τη δημοσίευση. Το περιεχόμενο των μηνυμάτων στο WhatsApp είναι «κρυπτογραφημένο από άκρο σε άκρο» και δεν επηρεάστηκε ανά πάσα στιγμή. «Αυτή η κρυπτογράφηση από άκρο σε άκρο προστατεύει το περιεχόμενο των μηνυμάτων, αλλά όχι απαραίτητα τα σχετικά μεταδεδομένα», εξηγεί ο τελευταίος συγγραφέας Aljosha Judmayer από το Πανεπιστήμιο της Βιέννης. «Η δουλειά μας δείχνει ότι κίνδυνοι για την προστασία της ιδιωτικής ζωής μπορούν επίσης να προκύψουν όταν τέτοια μεταδεδομένα συλλέγονται και αναλύονται σε μεγάλη κλίμακα». «Αυτά τα ευρήματα μας υπενθυμίζουν ότι ακόμη και τα ώριμα, ευρέως αξιόπιστα συστήματα μπορεί να περιέχουν ελαττώματα σχεδιασμού ή υλοποίησης που έχουν συνέπειες στον πραγματικό κόσμο», λέει ο Gegenhuber. «Δείχνουν ότι η ασφάλεια και το απόρρητο δεν είναι εφάπαξ επιτεύγματα, αλλά πρέπει να επαναξιολογούνται συνεχώς καθώς η τεχνολογία εξελίσσεται». «Βασιζόμενοι στα προηγούμενα ευρήματά μας σχετικά με τις αποδείξεις παράδοσης και τη διαχείριση κλειδιών, συμβάλλουμε στη μακροπρόθεσμη κατανόηση του τρόπου με τον οποίο εξελίσσονται τα συστήματα ανταλλαγής μηνυμάτων και πού προκύπτουν νέοι κίνδυνοι», προσθέτει ο συν-συγγραφέας Maximilian Günther από το Πανεπιστήμιο της Βιέννης. “Είμαστε ευγνώμονες στους ερευνητές του Πανεπιστημίου της Βιέννης για την υπεύθυνη συνεργασία και την επιμέλειά τους στο πλαίσιο του προγράμματος Bug Bounty. Αυτή η συνεργασία εντόπισε επιτυχώς μια νέα τεχνική απαρίθμησης που ξεπέρασε τα επιδιωκόμενα όρια, επιτρέποντας στους ερευνητές να αποκόψουν βασικές δημόσια διαθέσιμες πληροφορίες. Είχαμε ήδη εργαστεί σε κορυφαία συστήματα κατά της απόξεσης της βιομηχανίας και αυτή η μελέτη επιβεβαίωσε το άγχος του e-test. νέες άμυνες», λέει ο Nitin Gupta, Αντιπρόεδρος Μηχανικής στο WhatsApp. Είναι σημαντικό ότι οι ερευνητές έχουν διαγράψει με ασφάλεια τα δεδομένα που συλλέχθηκαν ως μέρος της μελέτης και δεν βρήκαμε στοιχεία για κακόβουλους παράγοντες που κάνουν κατάχρηση αυτού του φορέα. Ως υπενθύμιση, τα μηνύματα των χρηστών παρέμειναν ιδιωτικά και ασφαλή χάρη στην προεπιλεγμένη κρυπτογράφηση από άκρο σε άκρο του WhatsApp και δεν ήταν προσβάσιμα στους ερευνητές μη δημόσια δεδομένα.” Ηθικός χειρισμός και αποκάλυψη Η έρευνα διεξήχθη σύμφωνα με αυστηρές δεοντολογικές οδηγίες και σύμφωνα με αρχές υπεύθυνης αποκάλυψης. Τα ευρήματα αναφέρθηκαν αμέσως στη Meta, τον χειριστή της εφαρμογής WhatsApp-counterme. ορατότητα πληροφοριών) για να κλείσετε την ευπάθεια που προσδιορίστηκε. Οι συγγραφείς υποστηρίζουν ότι η διαφάνεια, ο ακαδημαϊκός έλεγχος και οι ανεξάρτητες δοκιμές είναι απαραίτητες για τη διατήρηση της εμπιστοσύνης στις παγκόσμιες υπηρεσίες επικοινωνίας. github.com/sbaresearch/whatsapp-census Παρέχεται από το Πανεπιστήμιο της Βιέννης Παραπομπή: Η ευπάθεια ασφαλείας του WhatsApp που ανακαλύφθηκε από ερευνητές (2025, 18 Νοεμβρίου) ανακτήθηκε στις 18 Νοεμβρίου 2025 από τη διεύθυνση https://techxplore.com/news/2025-11. Αυτή η μελέτη για την προστασία των δικαιωμάτων πνευματικής ιδιοκτησίας από ιδιωτική άποψη html ή έρευνα, κανένα μέρος δεν μπορεί να αναπαραχθεί χωρίς τη γραπτή άδεια. Το περιεχόμενο παρέχεται μόνο για ενημερωτικούς σκοπούς.
Δημοσιεύτηκε: 2025-11-18 21:51:00
πηγή: techxplore.com
