افشای شماره تلفن کاربران با کوتاهی واتس‌اپ

وب‌گاه مشرق نیوز 1404/08/30 - 05:28 مشاهده در مرجع

محققان دریافتند یک نقص امنیتی در واتس‌اپ، امکان افشای شماره تلفن 3.5 میلیارد کاربر را فراهم می‌کند که یکی از مهم‌ترین نشت‌های اطلاعاتی ثبت شده تاکنون به شمار می‌رود.

به گزارش مشرق، این آسیب‌پذیری که در ویژگی کشف مخاطبین این پیام‌رسان وجود دارد، با وجود هشدارهایی که از سال 2017 به شرکت «متا» داده است، همچنان پابرجا بود و نگرانی‌های جدی در مورد حریم خصوصی کاربران در پرکاربردترین پلتفرم پیام‌رسان جهان ایجاد کرد.

این نقص امنیتی در مکانیسم داخلی واتس‌اپ برای یافتن مخاطبین که نشان می‌دهد آیا کاربر در این سرویس حضور دارد یا خیر، وجود داشت و هنگام وارد کردن شماره تلفن، جزئیات عمومی مانند تصاویر پروفایل و متن‌های وضعیت را فاش می‌کرد.

محققان امنیتی دانشگاه وین این نقص را با پرس‌وجوی سیستماتیک میلیاردها شماره بالقوه و تائید حساب‌های فعال با سرعت بیش از 100 میلیون در ساعت بدون هیچ محدودیتی از سوی واتس‌اپ، نشان دادند.

مطالعه آنها که در فاصله دسامبر 2024 تا آوریل 2025 انجام شد، با استفاده از ابزاری به نام «لیبفونجن» یک مجموعه داده جامع برای ایجاد شماره تلفن‌های واقعی در 245 کشور ایجاد کرد. این تیم با استفاده از پروتکل ایکس‌ام‌پی‌پی واتس‌اپ از طریق یک کلاینت متن‌باز اصلاح شده، نه تنها به شماره تلفن‌ها، بلکه به کلیدهای رمزگذاری، مهرهای زمانی و اطلاعات پروفایل عمومی 56.7 درصد از حساب‌ها نیز دسترسی یافت.

محققان تنها از پنج حساب کاربری معتبر در یک سرور دانشگاهی برای بررسی 63 میلیارد شماره بالقوه استفاده کردند و 3.5 میلیارد شماره فعال را در کمتر از شش ماه شناسایی کردند.

بر اساس گزارش سایبرسکیوریتی نیوز، نکته نگران‌کننده این است که این مطالعه 2.9 میلیون مورد استفاده مجدد از کلید عمومی، از جمله هویت و کلیدهای پیش‌فرض را کشف کرد که در صورت سوءاستفاده توسط عوامل مخرب با استفاده از کلاینت‌های غیررسمی، می‌تواند رمزگذاری سرتاسری را تضعیف کند.

این آسیب‌پذیری منعکس‌کننده هشدارهای قبلی است. یک محقق در سال 2017 این مشکل را گزارش کرد، اما «متا» رفع آن را هشت سال به تعویق انداخت. داده‌های افشا شده به طور قابل توجهی با نقض‌های قبلی، مانند نشت 500 میلیون شماره فیس‌بوک در سال 2021 که تقریبا نیمی از آنها در واتس‌اپ فعال بودند، همپوشانی دارند و خطرات کلاهبرداری و حملات هدفمند را افزایش می‌دهند.

محققان اتریشی در آوریل در مورد این مشکل به «متا» اطلاع دادند و این شرکت تا اکتبر، برای جلوگیری از کشف چنین تماس‌هایی در مقیاس وسیع، محدودیت نرخ را پیاده‌سازی کرد. اما این محدودیت برای سال‌های بسیار زیادی اعمال نشد و طی این سال‌ها، هر نوع عامل مخربی می‌توانست از این نقص امنیتی سوءاستفاده کند.