WhatsApp: A kutatók telefonkönyvet hoznak létre az összes 3,5 milliárd felhasználóval

A Bécsi Egyetem és az SBA Research biztonsági kutatói nyugtalanító módon mutatták be a WhatsApp adatgyűjtési lehetőségeit. A csapatnak sikerült lelepleznie mind a 3,5 milliárd felhasználót a messenger kapcsolatfelfedező funkciójának segítségével. Ez a funkció tulajdonképpen a saját címjegyzékből származó kapcsolatok ellenőrzésére szolgál.

A kutatók egy masszív biztonsági rést használtak ki, amelyet azóta már lezártak. Felfedezték, hogy a felület nem rendelkezik megfelelő sebességkorlátozással a lekérdezésekhez. Ez elméletileg lehetővé tette számukra, hogy óránként 100 millió telefonszámot keressenek. Egyszerűen teljes telefonszámtartományokat vizsgáltak meg. A tanulmányt végül a Githubon tették közzé, és a tudósok további eredményeket és részletes elemzéseket mutatnak be a Network and Distributed System Security (NDSS) Symposiumon, amelyet 2026. február 23-27. között rendeznek San Diegóban.

A tanulmány hatalmas, világszerte mintegy 3,5 milliárd aktív WhatsApp-fiókot tartalmazó adatbázist eredményezett. A WhatsApp API-ja (alkalmazásprogramozási interfész) nyilvánosan elérhető metaadatokat szolgáltatott, amint egy számot regisztráltként azonosítottak. Ezek között szerepeltek profilképek, állapotfrissítések és információk arról, hogy a felhasználó mikor volt utoljára online. Műszaki részleteket is ki lehetett szedni, például az operációs rendszerek eloszlását. Az adatokból például kiderül, hogy a felhasználók mintegy 81%-a világszerte a Android weboldalt használja, míg az iOS 19%-át.

A kutatók ezeket az adatokat a 2021-es hatalmas Facebook-adatszivárgással is összevetették. az akkor kiszivárgott számok 58%-a ma is aktív. Ez jól szemlélteti, hogy az ilyen hatalmas adathalmazok még évek múlva is mennyire értékesek tudnak maradni. Még a szigorú internetcenzúrával és WhatsApp-blokkolással rendelkező országokban is több millió aktív felhasználót azonosítottak. 2 333 519 kínai telefonszámmal rendelkező fiókot azonosítottak. Még Észak-Koreában is legalább öt telefonszámot kapcsoltak WhatsApp-fiókhoz.

A Meta értesült a sebezhetőségről, és azóta szigorú sebességkorlátozások bevezetésével reagált, így az ilyen sebességű tömeges lekérdezések a továbbiakban nem lehetnek lehetségesek. Bár a vállalat szerint nincs bizonyíték a sebezhetőség harmadik fél általi kihasználására, a múltbeli ilyen kísérletek teljes körű áttekintése technikailag szinte lehetetlen. Maga a módszer biztonsági körökben ismert, ezért a korábbi, észrevétlen, más szereplők általi felhasználás legalábbis lehetséges.

Továbbá egy technikai részlet betekintést nyújt a WhatsApp árnyékvilágába. Normál működés esetén az alkalmazás minden egyes telepítése egyedi kriptográfiai kulcspárt generál, amely a végponttól végpontig tartó titkosítás alapját képezi, és biztosítja az eszköz azonosságát. A kutatók azonban telefonszámok csoportosulásait fedezték fel, amelyek ugyanazt a nyilvános kulcsot használják, ami a hivatalos alkalmazás fizikai eszközökön történő használata esetén technikailag lehetetlen lenne. Ez a kulcs újrafelhasználása erősen utal a nem hivatalos szoftver használatára. Az ilyen eszközöket gyakran használják "kattintásfarmokban" vagy marketingbotokhoz, ahol az üzemeltetők azonos biztonsági azonosítókat másolnak sok különböző fiókba, akár hatékonysági okokból, akár hibás megvalósítás miatt. Ez nemcsak hamis fiókokat leplez le, hanem azt is mutatja, hogy ezek a nem hivatalos kliensek tömegesen alááshatják a messenger biztonsági architektúráját.