Возможно, это самая крупная эксплуатация уязвимости в истории WhatsApp. В цифровой реестр добавлены миллиарды пользователей
Если бы мы спросили, какой мессенджер самый популярный, ответ, несомненно, был бы один: WhatsApp. Это решение было выпущено на рынок в 2009 году, а с 2014 года принадлежит компании Meta (Facebook, Instagram). Многим людям WhatsApp может показаться относительно безопасным мессенджером, однако различные события уже показали, что это не всегда так. Некая лазейка позволила собрать информацию о миллиардах пользователей.
Некоторые исследователи воспользовались уязвимостью в мессенджере WhatsApp и доказали, что с ее помощью можно получить информацию буквально о любом пользователе. В результате была создана огромная база данных почти о 3,5 миллиардах человек.
Хакеры украли данные миллионов людей из Instagram. Все уже несколько дней доступно в даркнете
Как получилось, что данные почти 3,5 миллиардов пользователей WhatsApp оказались на лотке? Причина довольно проста. Прежде чем начать разговор с нашим другом, нам необходимо проверить, кто из них вообще зарегистрирован в сервисе. Поэтому запросы отправляются на серверы с телефонными номерами, которые сохранены в нашем телефоне (если мы дали согласие на то, чтобы приложение имело к ним доступ). Исследователи решили воспользоваться этой возможностью, чтобы посмотреть, есть ли какие-либо ограничения. Оказалось, что ситуация не так уж и хороша, поскольку за час они смогли проверить 100 миллионов телефонных номеров, и после этого запросы не блокировались* и никаких эффективных ограничений не вводилось. Они использовали API с обратной разработкой (прямой доступ к API XMPP). Им удалось создать базу данных активных пользователей из 245 стран вместе с информацией о них, которая включала: номера телефонов, общедоступные фотографии профиля и раздел «О программе» (например, я использую WhatsApp), а также открытые ключи для E2E-шифрования. Кроме того, у них был доступ к используемой операционной системе, стране пользователя, подключенным устройствам, активности, времени (в отношении ключевых обновлений, фотографий профиля и раздела «О программе») и даже возрасту устройства (80% из них были созданы за последние два года). Исследователи сравнили 500 миллионов телефонных номеров, полученных в результате утечки данных Facebook в 2021 году, и обнаружили, что половина из них все еще активны.
В чем была причина сбоя Cloudflare? Официальная позиция компании — это не была DDoS-атака, как предполагалось изначально.
Благодаря собранным данным были созданы различные диаграммы, благодаря которым можно узнать, какая система чаще всего использовалась с WhatsApp (81% Android, 19% iOS) или как выглядит распределение пользователей по миру (Польша на 26 месте — почти 24 миллиона человек). Исследователи действительно обращались к Мете для решения проблемных вопросов (их было несколько на этом пути), но ожидаемого ответа они не получали довольно долгое время. В конечном итоге команда, ответственная за мессенджер WhatsApp, серьезно отнеслась к делу и приступила к внесению исправлений. Оказалось, что в странах, где использование мгновенных сообщений запрещено, все равно есть люди, которые это делают. Весь документ занимает 20 страниц, поэтому есть что почитать (например, по поводу ключей X25519, которые неоднократно использовались в разных устройствах и с разными телефонными номерами, что может указывать на криминальную деятельность) — при желании можно найти по этому адресу. Разумеется, сами исследователи не намерены использовать базу данных в злонамеренных целях, хотя можно предположить, что в других случаях такое уже происходило.
*Исключением стала единичная ошибка со стороны исследователей, приведшая к их бану.
**Интересно, что проверка пользователей WhatsApp по номеру телефона уже используется более широко. Примером может служить 2012 год, в котором менее чем за два с половиной часа было проверено 10 миллионов номеров и обнаружено почти 22 000 активных аккаунтов.
Источник: Notebookcheck, Википедия; Дима Соломин, Мария Шалабаева, Йонас Якобссон/Unsplash
