Profimedia

Raziskovalci z raziskovalnega inštituta SBA in Univerze na Dunaju, so odkrili veliko pomanjkljivost v mehanizmu za odkrivanje stikov v aplikaciji za takojšnje sporočanje WhatsApp. Luknja v sistemu je raziskovalcem omogočila popis in s tem pridobitev številnih podatkov večine svetovnih uporabnikov te storitve. S preprosto in avtomatizirano metodo so uspeli preveriti več deset milijard telefonskih številk in potrditi, ali so registrirane v WhatsAppu. Za kar 3,5 milijarde računov so pridobili še s telefonskimi številkami povezane podatke. 

Kako je delovala napaka v sistemu

WhatsApp omogoča, da aplikacija pregleda imenik v telefonu uporabnika in poišče stike, ki aplikacijo prav tako uporabljajo. Raziskovalci so izkoristili prav ta mehanizem: namesto nekaj sto stikov so prek spletne različice WhatsAppa sistematično preverjali ogromne bloke telefonskih številk – več kot 100 milijonov na uro.

Ker WhatsApp do tedaj ni imel učinkovitega omejevanja hitrosti poizvedb o telefonskih številkah iz enega vira, so lahko v nekaj mesecih preverili telefonske številke iz 245 držav in potrdili 3,5 milijarde aktivnih WhatsApp računov. Po besedah inštituta je to "najobsežnejša izpostavljenost telefonskih številk in povezanih uporabniških podatkov doslej." 

Avstrijskim raziskovalcem so bili dostopni isti podatki, kot jih vidi vsak uporabnik, ki pozna vašo telefonsko številko. Poleg številke so to še javni kriptografski ključ, časovni žigi, podatki o povezanih napravah, pri javnih profilih pa tudi profilne fotografije in kratko besedilo o uporabniku. Raziskovalci so iz teh podatkov lahko potegnili številne sklepe o starosti računov, operacijskih sistemih uporabnikov in o številu povezanih naprav. 

Profimedia

Podatki razkrivajo veliko več, kot si uporabniki mislijo

Študija je pokazala, da se na WhatsAppu razkriva veliko več, kot pričakujejo uporabniki. Pri približno 57 odstotkih od 3,5 milijarde računov je bila javno vidna profilna fotografija, pri 29 odstotkih pa javno besedilo profila. V ZDA je pri 137 milijonih analiziranih številk 44 odstotkov računov javno prikazovalo fotografijo, 33 odstotkov pa besedilo. V Indiji, kjer je WhatsApp še bolj razširjen, je bilo izmed skoraj 750 milijonov številk kar 62 odstotkov profilov mogoče povezati s fotografijo.  

Raziskovalci so našli tudi milijone računov v državah, kjer je WhatsApp uradno prepovedan – med drugim 2,3 milijona številk na Kitajskem in 1,6 milijona v Mjanmaru. Vlade bi lahko takšne podatke uporabile za identifikacijo in preganjanje uporabnikov, ki aplikacijo uporabljajo v nasprotju z državnimi zakoni. 

Meta: "Nejavnih podatkov nismo razkrili"

Raziskovalci so podjetje Meta, ki ima Whatsapp v lasti, o težavi obvestili aprila in zbrano bazo 3,5 milijarde številk nato izbrisali. Meta je do oktobra uvedla strožje omejevanje hitrosti poizvedb o telefonskih številkah in dodatne obrambne mehanizme proti masovnemu zbiranju podatkov, zaradi česar enaka metoda danes (uradno) ne bi smela več delovati v takšnem obsegu.

V izjavi za WIRED in v uradnem odzivu na raziskavo se je Meta raziskovalcem zahvalila za prijavo napake in poudarila, da so bili izpostavljeni le "osnovni javno dostopni podatki." Sporočila so ostala šifrirana, poudarili pa so tudi, da raziskovalci niso mogli dostopati do vsebine komunikacije uporabnikov ali drugih nejavnih podatkov.  

Varnostni mehanizmi zatajili

Meta sicer trdi, da je že pred rezultati raziskave razvijalo sisteme proti masovnemu zbiranju podatkov in da je bila ta študija priložnost za test in potrditev učinkovitosti novih obramb. Dodali so, da niso našli dokazov, da bi to isto tehniko množičnega popisa doslej izkoristili za zlonamerne namene. 

Profimedia

Raziskovalci po drugi strani poudarjajo, da pri zbiranju podatkov niso naleteli na nobeno oviro, ki bi jo pred njih postavili varnostni mehanizmi aplikacije. WhatsApp je njihove poizvedbe obravnaval kot običajna preverjanja stikov. Prav tako opozarjajo, da če je uspelo njim, bi lahko enako metodo vsaj določen čas uporabljal tudi kdorkoli drug.

Aplikacija še vedno varna za komunikacijo

Raziskava jasno pokaže, da šifriranje sporočil od konca do konca ščiti vsebino, ne pa tudi metapodatkov – telefonskih številk, časovnih žigov, podatkov o napravah in javnih elementov profila. Tudi omejevanje hitrosti in dodatni filtri ne morejo popolnoma odpraviti tveganja, če sistem ostaja zasnovan okoli telefonske številke kot primarnega identifikatorja.

Kot poudarja eden od raziskave avtorjev, Gabriel Gegenhuber, ta primer dokazuje, da tudi velike in preizkušene platforme skrivajo resne varnostne luknje: "Varnost in zasebnost nista enkratni dosežek, ampak proces, ki ga je treba nenehno preverjati in popravljati."