به گزارش ایسنا، این آسیب‌پذیری که در ویژگی کشف مخاطبین این پیام‌رسان وجود دارد، با وجود هشدارهایی که از سال ۲۰۱۷ به شرکت «متا» داده است، همچنان پابرجا بود و نگرانی‌های جدی در مورد حریم خصوصی کاربران در پرکاربردترین پلتفرم پیام‌رسان جهان ایجاد کرد.

این نقص امنیتی در مکانیسم داخلی واتس‌اپ برای یافتن مخاطبین که نشان می‌دهد آیا کاربر در این سرویس حضور دارد یا خیر، وجود داشت و هنگام وارد کردن شماره تلفن، جزئیات عمومی مانند تصاویر پروفایل و متن‌های وضعیت را فاش می‌کرد.

محققان امنیتی دانشگاه وین این نقص را با پرس‌وجوی سیستماتیک میلیاردها شماره بالقوه و تائید حساب‌های فعال با سرعت بیش از ۱۰۰ میلیون در ساعت بدون هیچ محدودیتی از سوی واتس‌اپ، نشان دادند.

مطالعه آنها که در فاصله دسامبر ۲۰۲۴ تا آوریل ۲۰۲۵ انجام شد، با استفاده از ابزاری به نام «لیبفونجن» یک مجموعه داده جامع برای ایجاد شماره تلفن‌های واقعی در ۲۴۵ کشور ایجاد کرد. این تیم با استفاده از پروتکل ایکس‌ام‌پی‌پی واتس‌اپ از طریق یک کلاینت متن‌باز اصلاح‌ شده، نه تنها به شماره تلفن‌ها، بلکه به کلیدهای رمزگذاری، مهرهای زمانی و اطلاعات پروفایل عمومی ۵۶.۷ درصد از حساب‌ها نیز دسترسی یافت.

محققان تنها از پنج حساب کاربری معتبر در یک سرور دانشگاهی برای بررسی ۶۳ میلیارد شماره بالقوه استفاده کردند و ۳.۵ میلیارد شماره فعال را در کمتر از شش ماه شناسایی کردند.

بر اساس گزارش سایبرسکیوریتی نیوز، نکته نگران‌کننده این است که این مطالعه ۲.۹ میلیون مورد استفاده مجدد از کلید عمومی، از جمله هویت و کلیدهای پیش‌فرض را کشف کرد که در صورت سوءاستفاده توسط عوامل مخرب با استفاده از کلاینت‌های غیررسمی، می‌تواند رمزگذاری سرتاسری را تضعیف کند.

این آسیب‌پذیری منعکس‌کننده هشدارهای قبلی است. یک محقق در سال ۲۰۱۷ این مشکل را گزارش کرد، اما «متا» رفع آن را هشت سال به تعویق انداخت. داده‌های افشا شده به طور قابل توجهی با نقض‌های قبلی، مانند نشت ۵۰۰ میلیون شماره فیس‌بوک در سال ۲۰۲۱ که تقریبا نیمی از آنها در واتس‌اپ فعال بودند، همپوشانی دارند و خطرات کلاهبرداری و حملات هدفمند را افزایش می‌دهند.

محققان اتریشی در آوریل در مورد این مشکل به «متا» اطلاع دادند و این شرکت تا اکتبر، برای جلوگیری از کشف چنین تماس‌هایی در مقیاس وسیع، محدودیت نرخ را پیاده‌سازی کرد. اما این محدودیت برای سال‌های بسیار زیادی اعمال نشد و طی این سال‌ها، هر نوع عامل مخربی می‌توانست از این نقص امنیتی سوءاستفاده کند.

انتهای پیام