Ένα σοβαρό κενό ασφαλείας στο WhatsApp εκθέτει 3,5 δισεκατομμύρια λογαριασμούς παγκοσμίως.
Ερευνητές στον τομέα της ασφάλειας στον κυβερνοχώρο από το Πανεπιστήμιο της Βιέννης και το ερευνητικό κέντρο SBA Research εντόπισαν ένα σοβαρό κενό απορρήτου στην πλατφόρμα WhatsApp, το οποίο επέτρεψε πρόσβαση σε 3,5 δισεκατομμύρια λογαριασμούς.
Η ΜΕΤΑ συνεργάστηκε με τους ερευνητές και έχει ήδη λάβει μέτρα περιορισμού του προβλήματος.
Το ζήτημα αφορά τον μηχανισμό ανακάλυψης επαφών του WhatsApp. Η μελέτη, όπως επισημαίνεται, «υπογραμμίζει τη σημασία της συνεχούς, ανεξάρτητης έρευνας ασφαλείας σε ευρέως χρησιμοποιούμενες πλατφόρμες επικοινωνίας και επισημαίνει τους κινδύνους που σχετίζονται με την συγκέντρωση των υπηρεσιών άμεσων μηνυμάτων». Τα αποτελέσματα θα παρουσιαστούν επίσημα στο Συμπόσιο Ασφάλειας Δικτύου και Κατανεμημένων Συστημάτων (NDSS) το 2026.
Ο μηχανισμός ανακάλυψης επαφών αξιοποιεί το βιβλίο διευθύνσεων ενός χρήστη για να εντοπίσει άλλους χρήστες του WhatsApp βάσει του αριθμού τηλεφώνου τους. Με τη χρήση αυτού του ίδιου μηχανισμού, οι ερευνητές απέδειξαν ότι ήταν δυνατή η αναζήτηση περισσότερων από 100 εκατομμυρίων αριθμών τηλεφώνου ανά ώρα μέσω της υποδομής της πλατφόρμας, επαληθεύοντας πάνω από 3,5 δισεκατομμύρια ενεργούς λογαριασμούς σε 245 χώρες.
Όπως εξηγεί ο επικεφαλής της έρευνας Γκάμπριελ Γκεγκενχούμπερ από το Πανεπιστήμιο της Βιέννης: «Κανονικά, ένα σύστημα δεν θα έπρεπε να ανταποκρίνεται σε τόσο μεγάλο αριθμό αιτημάτων σε τόσο σύντομο χρονικό διάστημα — ειδικά όταν προέρχονται από μία μόνο πηγή».
Προσθέτει ότι «αυτή η συμπεριφορά αποκάλυψε το υποκείμενο ελάττωμα, το οποίο μας επέτρεψε να εκδώσουμε ουσιαστικά απεριόριστα αιτήματα στον διακομιστή και με αυτόν τον τρόπο να αντιστοιχίσουμε δεδομένα χρηστών παγκοσμίως».
Τα δεδομένα που εξετάστηκαν στη μελέτη ήταν δημόσια διαθέσιμα για όποιον γνώριζε τον αριθμό τηλεφώνου ενός χρήστη και περιλάμβαναν αριθμό τηλεφώνου, δημόσια κλειδιά, χρονικές σημάνσεις και, εάν είχαν οριστεί ως δημόσια, κείμενο και εικόνα προφίλ. Από αυτά, οι ερευνητές μπόρεσαν να εξαγάγουν επιπλέον πληροφορίες, όπως το λειτουργικό σύστημα, την ηλικία του λογαριασμού και τον αριθμό συνδεδεμένων συσκευών.
Η μελέτη δείχνει ότι ακόμη και περιορισμένα δεδομένα ανά χρήστη μπορούν να αποκαλύψουν σημαντικές πληροφορίες σε ατομικό και συλλογικό επίπεδο. Παράλληλα, εντοπίστηκαν εκατομμύρια ενεργοί λογαριασμοί σε χώρες όπου η πλατφόρμα είναι απαγορευμένη, όπως Κίνα, Ιράν και Μιανμάρ, ενώ καταγράφηκε η κατανομή συσκευών και συγκεκριμένα, στο 81% Android και 19% iOS.
Οι ερευνητές ξεκαθαρίζουν ότι η μελέτη δεν είχε πρόσβαση σε περιεχόμενο μηνυμάτων και ότι τα προσωπικά δεδομένα δεν δημοσιεύθηκαν, ενώ όλα τα ανακτημένα στοιχεία διαγράφηκαν. Διαβεβαιώνουν ότι τα μηνύματα παραμένουν «κρυπτογραφημένα από άκρο σε άκρο» και δεν επηρεάστηκαν σε κανένα στάδιο της έρευνας.
Ο Αλιόσα Γιουντμάιερ από το Πανεπιστήμιο της Βιέννης σημειώνει ότι «αυτή η κρυπτογράφηση από άκρο σε άκρο προστατεύει το περιεχόμενο των μηνυμάτων, αλλά όχι απαραίτητα τα σχετικά μεταδεδομένα» και προσθέτει ότι «η εργασία μας δείχνει ότι, όταν τέτοια μεταδεδομένα συλλέγονται και αναλύονται σε μεγάλη κλίμακα, μπορούν να προκύψουν κίνδυνοι για την ιδιωτικότητα».
Η μελέτη υπογραμμίζει επίσης ότι «ακόμη και ώριμα, ευρέως αξιόπιστα συστήματα, μπορεί να έχουν αδύναμα σημεία σχεδιασμού ή υλοποίησης που έχουν συνέπειες στον πραγματικό κόσμο. Δείχνουν ότι η ασφάλεια και το απόρρητο δεν είναι εφάπαξ επιτεύγματα, αλλά πρέπει να επαναξιολογούνται συνεχώς καθώς η τεχνολογία εξελίσσεται», τονίζει ο Γκεγκενχούμπερ.
Από την πλευρά της ΜΕΤΑ, ο επικεφαλής μηχανικών του WhatsApp, Νίτιν Γκούπτα, εξέφρασε την ευγνωμοσύνη της εταιρείας προς τους ερευνητές του Πανεπιστημίου της Βιέννης, σημειώνοντας ότι η πλατφόρμα είχε ήδη αναλάβει δράση κατά της μαζικής συλλογής δεδομένων.
Διαβεβαίωσε ότι τα δεδομένα που συλλέχθηκαν στη μελέτη διαγράφηκαν με ασφάλεια και ότι τα μηνύματα των χρηστών παρέμειναν ιδιωτικά χάρη στην κρυπτογράφηση. Η έρευνα διεξήχθη με αυστηρές ηθικές οδηγίες και τα ευρήματά της κοινοποιήθηκαν άμεσα στο WhatsApp, το οποίο έχει εφαρμόσει αντίμετρα για να κλείσει το κενό ασφαλείας.
Τελευταίες Ειδήσεις
- Ψάχνει ρεβάνς στην Αθήνα ο Μπακογιάννης, αλλά… θα βρει απέναντί του τον Δούκα;
- Δεν κάνει πίσω: To ΠΑΣΟΚ συνεχίζει να κρατάει ψηλά το θέμα της 4ημερης εργασίας
- Το χαρτί του Βενιζέλου, το άτυπο «πάγωμα» των εξεταστικών και ο φόβος της φθοράς ενόψει καλπών
Τι είναι το Exodos; Εσύ!
Λίγο πριν μπει το ΣΚ, ακούμε Stolen Mic στο Αιγάλεω και πίνουμε μπίρες στην Τεχνόπολη
«Cleansed»: Μια ιστορία αγάπης, ακραίας βίας, υψηλού συμβολισμού και ευγενούς ποίησης
Kουίζ Γεωγραφίας «Βρες τη σημαία»: To ‘χεις να βρεις ποια σημαία ανήκει πού ή μπα;
Κουίζ «Διάσημα Λογότυπα» : Μπορείς το 10/10 στο κουίζ που οι περισσότεροι την πατάνε ενώ τα βλέπουν κάθε μέρα;
Κουίζ ”Animal Kingdom”: Μπορείς το 10/10 στο απόλυτο κουίζ για το ζωικό βασίλειο;
