Potężna luka w WhatsApp. "Umożliwiła nam wysyłanie praktycznie nieograniczonej liczby żądań do serwera". Narażone było nawet 3,5 miliarda numerów telefonów
Luka w mechanizmie wyszukiwania kontaktów na podstawie ich numerów telefonów pozwoliła potwierdzić, że tytułowego komunikatora używa ok. 3,5 miliarda użytkowników na całym świecie. Korzystając z infrastruktury WhatsAppa badacze byli w stanie przetworzyć przeszło 100 milionów numerów na godzinę, co, ich zdaniem, nie powinno być możliwe.
Problem z WhatsAppem został zidentyfikowany, opisany i zgłoszony przez grupę badaczy z Uniwersytetu Wiedeńskiego oraz SBA Research. Odnaleziona luka dotyczyła wspomnianego we wstępie mechanizmu wyszukiwania kontaktów, z pomocą którego udało się dokonać enumeracji 3,5 miliarda kont w komunikatorze. Meta, będąca właścicielem aplikacji, została poinformowana o zdarzeniu. Koncern przekazał, że bolączka została już wyeliminowania, a więc nie powinniśmy mieć powodów do obaw. Mimo to i tak warto przyjrzeć się odkryciu specjalistów ds. cyberbezpieczeństwa.
Potężna luka w WhatsApp
Jak podaje redakcja Tech Xplore, badacze odpowiedzialni za wykrycie luki przygotowują pracę naukową poświęconą zagrożeniom płynącym z centralizacji komunikacji w Internecie. Jej wstępna wersja została już udostępniona publicznie na GitHubie, zaś dopracowany dokument po raz pierwszy ukaże się podczas Network and Distributed System Security (NDSS) Symposium w przyszłym roku.
Z artykułu dowiedzieliśmy się m.in. właśnie tego, że mechanizm wyszukiwania kontaktów na WhatsAppie może zostać wykorzystany do przetwarzania milionów numerów telefonów na minutę. Znajomość tego elementu pozwoliła uzyskać dostęp do innych publicznie danych, takich jak klucze oraz sygnatury czasowe, a także, jeśli zostały uzupełnione, zdjęcie oraz opis profilu. Ten zbiór informacji pozwolił postawić kolejny krok, a było nim ustalenie, z jakiego systemu operacyjnego korzystają dani użytkownicy, kiedy zostały założone ich konta, a nawet na ilu urządzeniach pozostają zalogowani. Naukowcy podkreślili, że ich eksperyment dowodzi tego, iż nawet pozornie nieistotne skrawki danych mogą prowadzić do odkrycia informacji, które odkrywane być nie powinny – a przynajmniej nie przez nieupoważnione do tego osoby.
Z badania dodatkowo wynikło, że wiele osób ma tendencję do przesadnego zdradzania dość istotnych szczegółów na swój temat, wliczając w to poglądy polityczne lub wyznawaną religię. Jak się okazuje, na WhatsAppie nie brakuje też niekryjących się ze swoim "zawodem" handlarzy narkotyków.
Podczas gdy wiele kont zachowuje jeden z domyślnych tagów dostarczonych przez WhatsApp (np. "Cześć! Korzystam z WhatsApp"), inne publicznie ujawniają poufne lub osobiste informacje w swoich niestandardowych tekstach. Na przykład niektórzy użytkownicy ujawniają swoje poglądy polityczne "Make America Great Again", wskazują swoją tożsamość lub orientację seksualną "LGBTQIA+", wyrażają przekonania religijne, cytując wersety z Biblii lub Koranu, a nawet nawiązują do zażywania narkotyków "Cześć! Używam kokainy". Znaleźliśmy ślady działalności przestępczej, w tym dealerów narkotyków podających aktualną ofertę i ceny, a także rzeczywiste konto biznesowe o nazwie "SECRET TAXI" reklamujące narkotyki wraz ze szczegółową listą produktów "COKE-WEED-HASH-KETAMIN-MDMA-XTCSPEED-LSD-2CB-3MMC-4MMC/MEMPHEDRON".
Prócz tego na jaw wyszło, że WhatsApp ma dość pokaźną bazę użytkowników w krajach, w których korzystanie z rzeczonego komunikatora zostało prawnie zablokowane. Dla przykładu, w Chinach udało się zidentyfikować 2,3 miliony numerów telefonów przypisanych do jednego z kont w aplikacji. W Iranie zaś z WhatsAppa korzysta ok. 2/3 populacji państwa, czyli 59 milionów osób.
Z pełną treścią wstępnej wersji pracy naukowej możemy zapoznać się na GitHubie, korzystając ze wbudowanego podglądu lub pobierając plik PDF na nasz komputer.
Jakub Dmuchowski, redaktor pcformat.pl
