پژوهشگران دانشگاه وین یک آسیبپذیری ساده اما گسترده را در قابلیت «کشف مخاطب» واتساپ شناسایی کردند؛ نقصی که دسترسی به ۳.۵ میلیارد شماره تلفن را ممکن ساخت. اگرچه متا ادعا میکند این مشکل برطرف شده، متخصصان امنیتی میگویند این موضوع میتواند «بزرگترین سرازیر شدن شمارهها در تاریخ» باشد.
مشکل از کجا شروع شد؟ ضعف امنیتی در قابلیت جستوجوی شماره واتساپ
واتساپ به کاربران اجازه میدهد تنها با وارد کردن شماره تلفن، سایر افراد را پیدا کنند. این ویژگی یکی از پایههای محبوبیت جهانی این پیامرسان است. اما تیم دانشگاه وین کشف کرد که همین ابزار ساده، پشت صحنهای بسیار آسیبپذیر داشت.
آنها متوجه شدند که مکانیسم وبمحور کشف مخاطب در واتساپ، هیچگونه محدودیت سرعت یا همان rate-limiting ندارد. در نتیجه، پژوهشگران توانستند شمارهها را به صورت پشت سر هم و سیستماتیک بررسی کنند؛ عملیاتی که تنها با چند خط کدنویسی انجام شده بود.
نتیجه تکاندهنده بود: شماره ۳.۵ میلیارد کاربر واتساپ با همین روش شناسایی شد. افزون بر این، برای حدود ۵۷ درصد از این شمارهها تصویر پروفایل و برای ۲۹ درصد نیز متن بیوی کاربری قابل مشاهده بود.
«این، بزرگترین میزان افشای شماره و دادههای مرتبطی است که تاکنون ثبت شده است.» – آلژوشا یودمایر، نویسنده اصلی تحقیق
سرعت حیرتانگیز اسکن: امکان بررسی ۱۰۰ میلیون شماره در یک ساعت
به دلیل نبود محدودیتهای امنیتی کافی در نسخه وب واتساپ، پژوهشگران موفق شدند در هر ساعت ۱۰۰ میلیون شماره را بررسی کنند. پس از اطلاعرسانی به متا در ماه آوریل و حذف دادهها، شرکت در ماه اکتبر محدودیتهای سختگیرانهتری را اعمال کرده و نقص را برطرف کرده است.
اما از نظر محقق مکس گونتر، مشکل فراتر از سادگی دسترسی است. او هشدار میدهد:
«اگر ما با چنین روش سادهای توانستیم به این حجم داده دست پیدا کنیم، هیچ تضمینی نیست که دیگران پیش از ما همین کار را نکرده باشند.»
پاسخ متا: دادهها عمومیاند، پیامها همچنان امن هستند
متا با تشکر از پژوهشگران، این مشکل را در قالب برنامه باگبانتی پذیرفت. شرکت اعلام کرد که بخشی از دادهها بر اساس تنظیمات حریم خصوصی کاربران به صورت عمومی قابل مشاهده بوده است. همچنین تأکید کرد که محتوای پیامها به لطف رمزنگاری سرتاسری (E2EE) کاملاً امن باقی ماندهاند.
نیتین گوپتا، معاون متا، گفت:
«هیچ مدرکی وجود ندارد که نشان دهد این نقص توسط بازیگران مخرب مورد سوءاستفاده قرار گرفته باشد.»
اما پژوهشگران تأکید دارند که در طول فرآیند بررسی، با هیچ لایه دفاعی از سوی واتساپ روبهرو نشدهاند. همچنین در سال ۲۰۱۷ یک متخصص هلندی به نام لوران کلوزه درباره همین مشکل هشدار داده بود، اما متا آن را «ویژگی طراحی» توصیف کرده بود.
چه کشورهایی آسیبپذیرتر بودند؟ مقایسه سطح حریم خصوصی
تحقیق جدید نشان میدهد که کاربران در برخی کشورها تنظیمات حریم خصوصی را کمتر جدی میگیرند:
- هند: از میان ۷۵۰ میلیون کاربر، ۶۲ درصد عکس پروفایل را عمومی گذاشته بودند.
- برزیل: از میان ۲۰۶ میلیون حساب، ۶۱ درصد عکس پروفایل قابل مشاهده بود.
- ایالات متحده: ۴۴ درصد از ۱۳۷ میلیون حساب، عکس عمومی داشت.
این موضوع حتی در کشورهایی که واتساپ ممنوع است نیز دیده میشود؛ جایی که صدها هزار حساب فعال شناسایی شده است. برای نمونه، چین ۲.۳ میلیون و میانمار ۱.۶ میلیون حساب ثبتشده داشت. پژوهشگران هشدار دادند که دولتهای این کشورها ممکن است از این دادهها برای شناسایی یا تنبیه کاربران واتساپ استفاده کرده باشند.
بررسی کلیدهای رمزنگاری: برخی حسابها کلیدهای یکسان داشتند
گروه تحقیق کلیدهای رمزنگاری سرتاسری مرتبط با این شمارهها را نیز تجزیه و تحلیل کرد و یافتهای عجیب به دست آورد:
در برخی موارد، یک کلید رمزنگاری در صدها حساب تکرار شده بود و حتی ۲۰ شماره آمریکایی شناسایی شدند که کلید رمزنگاری آنها کاملاً از صفر تشکیل شده بود.
این مشکل احتمالاً به کاربران یا اپلیکیشنهای غیررسمی و دستکاریشده واتساپ بازمیگردد که معمولاً توسط شبکههای جعلی و کلاهبرداری استفاده میشوند.
چالش اصلی: شماره تلفن هرگز نباید «شناسه امنیتی» باشد
مشکل بنیادین از نظر پژوهشگران، وابستگی هویتی واتساپ به شماره تلفن است. شمارهها ساختاری قابل پیشبینی دارند، بنابراین نمیتوانند نقش یک شناسه محرمانه را در سیستمهای بزرگ ایفا کنند.
«شماره تلفن برای نقش یک شناسه مخفی طراحی نشده. وقتی یک سرویس با ۳.۵ میلیارد کاربر به این روش متکی باشد، خطر اجتنابناپذیر میشود.» – یودمایر
راهحل آینده: سیستم نام کاربری در واتساپ
متا در حال تست قابلیت جدیدی بر پایه نام کاربری است؛ قابلیتی که میتواند در آینده این خطر بزرگ را کاهش دهد و امنیت شناسایی کاربران را تقویت کند.
اگر امنیت دیجیتال برایتان مهم است، این مقاله را برای دوستان خود ارسال کنید یا تجربه خود را در بخش نظرات بنویسید.
