WhatsApp: Исследователи создали телефонную книгу со всеми 3,5 миллиардами пользователей

Исследователи безопасности из Венского университета и компании SBA Research представили тревожную демонстрацию возможностей сбора данных в WhatsApp. Команде удалось разоблачить все 3,5 миллиарда пользователей, используя функцию обнаружения контактов в мессенджере. На самом деле эта функция предназначена для проверки контактов из Вашей собственной адресной книги.

Исследователи использовали масштабную уязвимость в системе безопасности, которая с тех пор была закрыта. Они обнаружили, что интерфейс не имеет достаточных ограничений по скорости запросов. Теоретически, это позволило им просматривать 100 миллионов телефонных номеров в час. Полные диапазоны телефонных номеров были просто изучены. Исследование в итоге было опубликовано на Githubи ученые представят дальнейшие результаты и подробный анализ на Симпозиуме по безопасности сетей и распределенных систем (NDSS), который пройдет в Сан-Диего с 23 по 27 февраля 2026 года.

В результате этого исследования была получена огромная база данных, включающая около 3,5 миллиардов активных аккаунтов WhatsApp по всему миру. API (интерфейс программирования приложений) WhatsApp предоставлял общедоступные метаданные, как только номер был идентифицирован как зарегистрированный. Они включали в себя фотографии профиля, обновления статуса и информацию о том, когда пользователь в последний раз был онлайн. Также можно было получить технические данные, например, распределение операционных систем. Например, данные показывают, что около 81% пользователей по всему миру используют Android, в то время как на iOS приходится около 19%.

Исследователи также сравнили эти данные с масштабной утечкой данных Facebook в 2021 году. 58% данных, утечка которых произошла в то время, активны и сегодня. Это иллюстрирует, насколько ценными могут оставаться такие массивные массивы данных даже спустя годы. Даже в странах с жесткой интернет-цензурой и блокировкой WhatsApp были выявлены миллионы активных пользователей. было выявлено 2 333 519 аккаунтов с китайскими номерами телефонов. Даже в Северной Корее, по крайней мере, пять телефонных номеров были связаны с аккаунтом WhatsApp.

Компания Meta была проинформирована об уязвимости и с тех пор отреагировала на нее, введя строгие ограничения скорости, так что массовые запросы на такой скорости больше невозможны. Хотя компания заявила, что нет никаких доказательств использования уязвимости третьими лицами, полный обзор подобных попыток в прошлом технически практически невозможен. Сам метод известен в кругах специалистов по безопасности, поэтому предыдущее, незамеченное использование другими лицами, по крайней мере, возможно.

Кроме того, одна техническая деталь дает представление о теневом мире WhatsApp. При нормальной работе каждая установка приложения генерирует уникальную пару криптографических ключей, которая служит основой для сквозного шифрования и обеспечивает идентификацию устройства. Однако исследователи обнаружили скопления телефонных номеров, использующих один и тот же открытый ключ, что технически невозможно при использовании официального приложения на физических устройствах. Такое повторное использование ключей наводит на мысль об использовании неофициального программного обеспечения. Такие инструменты часто используются на "фермах кликов" или в маркетинговых ботах, где операторы копируют идентичные идентификаторы безопасности на множество различных учетных записей, либо из соображений эффективности, либо из-за неправильной реализации. Это не только раскрывает фальшивые учетные записи, но и демонстрирует, что такие неофициальные клиенты могут значительно подорвать архитектуру безопасности мессенджера.