Ključni zaključci: Istraživači su identifikovali ranjivost u WhatsApp‑ovom mehanizmu za pronalaženje kontakata koja može otkriti brojeve, profilne fotografije i statuse više od 3 milijarde korisnika. Slabost omogućava automatsko prikupljanje podataka i potencijal za ciljani socijalni inženjering. Meta je navodno ublažila problem, ali nije jasno da li je ranije iskorišćen. Stručnjaci savetuju ograničavanje pristupa imeniku i uključivanje dvofaktorne autentifikacije.
Kritična ranjivost u WhatsAppu otkriva brojeve telefona milijardi korisnika
Istraživači su otkrili ozbiljan bezbednosni propust u mehanizmu WhatsApp‑a za pronalaženje kontakata koji može otkriti telefonske brojeve više od 3 milijarde korisnika; u nekim naslovima pominje se i cifra od 3,5 milijarde.
Šta su utvrdili istraživači
Tim sa Univerziteta u Beču i istraživači iz organizacije SBA Research otkrili su da procedura kojom aplikacija upoređuje brojeve iz korisničkog imenika sa centralnom bazom može biti zloupotrebljena za masovno prikupljanje podataka. Napadači su mogli automatski »enumerisati« (pretraživati) hiljade do milijardi brojeva i povući javne informacije poput fotografije profila i polja „About“ (status).
„Ovi rezultati nas podsećaju da i zreli, široko korišćeni sistemi mogu sadržati dizajnerske ili implementacione greške koje imaju stvarne posledice,“ rekao je Gabriel Gegenhuber sa Univerziteta u Beču.
Zašto je to opasno
Kada napadači dobiju kombinaciju telefonskog broja, fotografije profila i statusa, mogu izgraditi dobro ciljane lažne profile i pokušati prevaru, socijalni inženjering ili preuzimanje naloga. Marijus Briedis, tehnički direktor NordVPN‑a, ističe da je problem u tome što WhatsApp koristi telefonski broj kao osnovu identiteta — a takav identitet je javno dostupan i lako automatizovano prikupljiv.
Odgovor Mete
Meta, vlasnik WhatsApp‑a, navodno je preduzela korake da ublaži propust nakon što su istraživači prijavili nalaz. Međutim, nije javno potvrđeno da li je propust prethodno iskorišćen u zlonamerne svrhe.
Pravni slučaj i širi kontekst
U međuvremenu, bivši šef bezbednosti WhatsApp‑a, Attaullah Baig, podneo je tužbu u kojoj se tvrdi da WhatsApp nije uspeo da spreči masovna preuzimanja naloga — navodno stotine hiljada dnevno. Ovaj slučaj dodatno otvara pitanje koliko su mehanizmi zaštite naloga i privatnosti efikasni u praksi.
Preporuke za korisnike
Dok platforme unapređuju bezbednost, korisnicima se savetuje da:
- ograniče pravo pristupa aplikaciji imeniku telefona;
- provere i ograniče ko može videti profilnu fotografiju i status (privatnost > profil);
- uključe dvofaktornu autentifikaciju na WhatsApp‑u;
- budu oprezni prema neočekivanim porukama i zahtevima za verifikaciju.
Autori nalaza objavili su preprint rad pod naslovom „Hey there! You are using WhatsApp: Enumerating three billion accounts for security and privacy“. Njihove preporuke i tehnički detalji dostupni su u toj studiji.
Pomozite nam da budemo bolji.
