چهارشنبه، 28 آبان ماه 1404 = 19-11 2025
محققان اتریشی کشف کردند: نقص امنیتی بزرگ "واتساپ"
گروهی از محققان اتریشی با بهرهگیری از یک نقص ساده در سیستم «کشف مخاطب» واتساپ، موفق شدند شماره تلفن ۳.۵ میلیارد کاربر این پیامرسان را استخراج کنند. اگر این پروژه در قالب یک تحقیق علمی انجام نمیشد، میتوانستیم شاهد بزرگترین نشت اطلاعاتی تاریخ باشیم.
به گزارش دیجیاتو به نقل از وایرد، محققان میگویند مکانیسم سادهای که واتساپ برای راحتی کاربران طراحی کرده، به پاشنه آشیل آن تبدیل شده است. این اپلیکیشن به شما اجازه میدهد تا با واردکردن شماره تلفن، بلافاصله بفهمید که آیا صاحب آن شماره عضو واتساپ است یا خیر.
محققان دانشگاه وین اتریش از همین ویژگی استفاده کردند. آنها با نوشتن اسکریپتهایی که شمارههای تلفن مختلف را بهصورت رگباری و میلیاردی بررسی میکرد، توانستند تقریباً لیست تمام کاربران واتساپ در جهان را استخراج کنند. نکته عجیب ماجرا اینجاست که متا هیچ محدودیتی برای تعداد این درخواستها قائل نشده بود و محققان میتوانستند در هر ساعت، وضعیت حدود ۱۰۰ میلیون شماره را چک کنند.
افشای شماره تلفن و اطلاعات کاربران واتساپ
علاوهبر خود شماره تلفنها، اطلاعات جانبی دیگری نیز در دسترس قرار گرفت. طبق یافتههای این تیم تحقیقاتی، عکس پروفایل ۵۷ درصد کاربران برای عموم قابل مشاهده بود. ۲۹ درصد کاربران نیز متن بخش About یا بیوگرافیشان در دسترس بود. اگرچه محققان پس از پایان پروژه این دیتابیس بزرگ را پاک کردند، اما این حجم از داده میتوانست خوراک بزرگی برای کلاهبرداران و اسپمرها باشد.
شاید فکر کنید داشتن شماره تلفن و عکس پروفایل چندان خطرناک نیست، اما ترکیب این اطلاعات میتواند عواقب جدی داشته باشد. برای مثال کلاهبرداران با داشتن عکس و نام شما میتوانند پروفایلهای جعلی بسازند و به دوستانتان پیام دهند. همچنین در کشورهایی مانند چین یا میانمار که استفاده از واتساپ ممنوع است، دولتها میتوانند با استفاده از همین روش، کاربران این اپ را شناسایی کنند.
محققان همچنین متوجه شدند که برخی حسابها (احتمالاً اکانتهای اسپم یا نسخههای غیررسمی واتساپ) از کلیدهای رمزنگاری تکراری استفاده میکنند که امنیت پیامها را به خطر میاندازد.
این اولینبار نیست به متا درباره این نقص امنیتی هشدار داده میشود. در سال ۲۰۱۷، یک محقق هلندی دقیقاً به همین مشکل اشاره کرد و گفت که میتوان با این روش، دیتابیسی گسترده از اطلاعات کاربران ساخت و حتی زمان آنلاینشدن آنها را رصد کرد. بااینحال، متا در آن زمان این موضوع را نادیده گرفت و مدعی شد که تنظیمات حریم خصوصی واتساپ به درستی کار میکنند. اما تحقیق جدید نشان داد که با گذشت ۸ سال، نهتنها مشکل حل نشده بود، بلکه ابعاد آن به ۳.۵ میلیارد کاربر گسترش یافته بود.
البته این شرکت در ماه اکتبر با دریافت نتایج تحقیق دانشگاه وین سیستمهای دفاعی خود را تقویت کرد. اکنون متا با اعمال محدودیت نرخ درخواست، جلوی بررسیهای انبوه شماره تلفن را گرفته است. همچنین سخنگوی واتساپ در بیانیهای اعلام کرد که هیچ شواهدی مبنی بر سوءاستفاده مخرب از این روش پیدا نکردهاند و تأکید کرد که اطلاعات فاششده (مثل عکس پروفایل)، اطلاعاتی بوده که خود کاربران تصمیم گرفتهاند عمومی باشد.
English SummaryA group of Austrian researchers exploited a flaw in WhatsApp's "contact discovery" system, potentially accessing the phone numbers of 3.5 billion users. This mechanism, designed for convenience, allowed the team to check the status of phone numbers in bulk without any request limits, enabling them to compile a nearly complete user list. Besides phone numbers, they also accessed profile pictures and user bios, increasing risks for scams and identity theft.
Despite previous warnings about this issue in 2017, Meta (WhatsApp's parent company) only recently bolstered defenses after the new findings. The situation highlights ongoing privacy vulnerabilities.
