Ερευνητές στην ασφάλεια στην πληροφορική από το Πανεπιστήμιο της Βιέννης και τo κέντρο ερευνών SBA Research εντόπισαν μεγάλης κλίμακας κενό απορρήτου στην πλατφόρμα WhatsApp.
Το αποτέλεσμα ήταν να αποκτήσουν πρόσβαση σε 3,5 δισεκατομμύρια λογαριασμούς.
Σε συνεργασία με τους ερευνητές, η ΜΕΤΑ έχει έκτοτε λάβει μέτρα περιορισμού του προβλήματος.
Το πρόβλημα
Σύμφωνα με το πανεπιστήμιο, το πρόβλημα εντοπίστηκε στον μηχανισμό ανακάλυψης επαφών και η μελέτη «υπογραμμίζει τη σημασία της συνεχούς, ανεξάρτητης έρευνας ασφαλείας σε ευρέως χρησιμοποιούμενες πλατφόρμες επικοινωνίας και επισημαίνει τους κινδύνους που σχετίζονται με την συγκέντρωση των υπηρεσιών άμεσων μηνυμάτων». Τα αποτελέσματα της έρευνας θα παρουσιαστούν επισήμως στο Συμπόσιο Ασφάλειας Δικτύου και Κατανεμημένων Συστημάτων (NDSS) το 2026.
Ο μηχανισμός ανακάλυψης επαφών του WhatsApp μπορεί να χρησιμοποιήσει το βιβλίο διευθύνσεων ενός χρήστη προκειμένου να βρει άλλους χρήστες του WhatsApp με βάση τον αριθμό τηλεφώνου τους.
Χρησιμοποιώντας τον ίδιο υποκείμενο μηχανισμό, οι ερευνητές απέδειξαν ότι ήταν δυνατό να αναζητηθούν περισσότεροι από 100 εκατομμύρια αριθμοί τηλεφώνου ανά ώρα μέσω της υποδομής του WhatsApp, επιβεβαιώνοντας περισσότερους από 3,5 δισεκατομμύρια ενεργούς λογαριασμούς σε 245 χώρες.
«Κανονικά, ένα σύστημα δεν θα έπρεπε να ανταποκρίνεται σε τόσο μεγάλο αριθμό αιτημάτων σε τόσο σύντομο χρονικό διάστημα — ειδικά όταν προέρχονται από μία μόνο πηγή», εξηγεί ο επικεφαλής της έρευνας Γκάμπριελ Γκεγκενχούμπερ από το Πανεπιστήμιο της Βιέννης.
«Αυτή η συμπεριφορά αποκάλυψε το υποκείμενο ελάττωμα, το οποίο μας επέτρεψε να εκδώσουμε ουσιαστικά απεριόριστα αιτήματα στον διακομιστή και με αυτόν τον τρόπο να αντιστοιχίσουμε δεδομένα χρηστών παγκοσμίως», προσθέτει.
Τα προσβάσιμα στοιχεία δεδομένων που χρησιμοποιήθηκαν στη μελέτη είναι αυτά που είναι δημόσια για όποιον γνωρίζει τον αριθμό τηλεφώνου ενός χρήστη και αποτελούνται από: αριθμό τηλεφώνου, δημόσια κλειδιά, χρονικές σημάνσεις και, εάν οριστούν ως δημόσια, κείμενο και εικόνα προφίλ. Από αυτά τα σημεία δεδομένων, οι ερευνητές μπόρεσαν να εξαγάγουν πρόσθετες πληροφορίες, οι οποίες τους επέτρεψαν να συμπεράνουν το λειτουργικό σύστημα ενός χρήστη, την ηλικία του λογαριασμού, καθώς και τον αριθμό των συνδεδεμένων συνοδευτικών συσκευών. Η μελέτη δείχνει ότι ακόμη και αυτή η περιορισμένη ποσότητα δεδομένων ανά χρήστη μπορεί να αποκαλύψει σημαντικές πληροφορίες, τόσο σε μακροσκοπικό όσο και σε ατομικό επίπεδο.
Τα άλλα ευρήματα
Στο πλαίσιο της έρευνας προέκυψαν πάντως και άλλα ευρήματα, όπως το γεγονός ότι εντοπίστηκαν εκατομμύρια ενεργοί λογαριασμοί WhatsApp σε χώρες όπου η συγκεκριμένη πλατφόρμα έχει απαγορευτεί, όπως στην Κίνα, στο Ιράν και στην Μιανμάρ. Επιπλέον, καταγράφηκαν στοιχεία σχετικά με την κατανομή συσκευών Android (81%) έναντι συσκευών iOS (19%).
Οι ερευνητές διευκρινίζουν πάντως ότι η μελέτη τους δεν περιελάμβανε πρόσβαση σε περιεχόμενο μηνυμάτων και ότι δεν δημοσιεύθηκαν προσωπικά δεδομένα, ενώ όλα τα ανακτημένα δεδομένα διαγράφηκαν από τους ίδιους. Διαβεβαιώνουν μάλιστα ότι το περιεχόμενο μηνυμάτων του WhatsApp είναι «κρυπτογραφημένο από άκρο σε άκρο» και δεν επηρεάστηκε σε καμία φάση της έρευνας. «Αυτή η κρυπτογράφηση από άκρο σε άκρο προστατεύει το περιεχόμενο των μηνυμάτων, αλλά όχι απαραίτητα τα σχετικά μεταδεδομένα», εξηγεί ο Αλιόσα Γιουντμάιερ, επίσης από το Πανεπιστήμιο της Βιέννης και τονίζει ότι «η εργασία μας δείχνει ότι, όταν τέτοια μεταδεδομένα συλλέγονται και αναλύονται σε μεγάλη κλίμακα, μπορούν να προκύψουν κίνδυνοι για την ιδιωτικότητα».
Η έρευνα αναδεικνύει επίσης ότι «ακόμη και ώριμα, ευρέως αξιόπιστα συστήματα, μπορεί να έχουν αδύναμα σημεία σχεδιασμού ή υλοποίησης που έχουν συνέπειες στον πραγματικό κόσμο. Δείχνουν ότι η ασφάλεια και το απόρρητο δεν είναι εφάπαξ επιτεύγματα, αλλά πρέπει να επαναξιολογούνται συνεχώς καθώς η τεχνολογία εξελίσσεται», υπογραμμίζει ο κ. Γκεγκενχούμπερ.
Η αποκατάσταση
Από την πλευρά της ΜΕΤΑ, ο επικεφαλής των μηχανικών του WhatsApp Νίτιν Γκούπτα εξέφρασε την ευγνωμοσύνη της εταιρίας στους ερευνητές του Πανεπιστημίου της Βιέννης, επισημαίνοντας ότι η πλατφόρμα εργαζόταν ήδη κατά της συλλογής δεδομένων.
Διαβεβαίωσε επίσης ότι οι ερευνητές έχουν διαγράψει με ασφάλεια τα δεδομένα που συλλέχθηκαν στο πλαίσιο της έρευνας και ότι τα μηνύματα των χρηστών παρέμειναν ιδιωτικά και ασφαλή χάρη στην κρυπτογράφηση της πλατφόρμας. Επιπλέον, η έρευνα διεξήχθη με αυστηρές ηθικές οδηγίες και τα ευρήματά της κοινοποιήθηκαν άμεσα στο WhatsApp, το οποίο έχει έκτοτε εφαρμόσει αντίμετρα προκειμένου να κλείσει το κενό ασφαλείας που εντοπίστηκε.
Δείτε επίσης:
Η Νέα εποχή στο Διαδίκτυο: Από το ανοιχτό web στις κλειστές πλατφόρμες
Το κρατικό πρακτορείο του Ιράν καλεί τους πολίτες να διαγράψουν άμεσα το WhatsApp!
