WhatsApp: 欠陥により 3.500 億件の電話番号とプロフィール データが抽出される可能性があります。

学術的な調査により、 連絡先発見システムのセキュリティ上の欠陥 WhatsAppは、大規模に悪用されると、 これにより、電話番号の検証と、電話番号とプロフィールデータの大量関連付けが可能になりました。この調査結果は、日常的なアプリのプロセスを産業ペースで繰り返すと、情報漏洩の原因になる可能性があることを示しています。

ウィーン大学のチームが主導したこの研究では、 数十億の数字の組み合わせ ウェブ版では、何ヶ月もの間、効果的なブロックが行われずにいました。著者らによると、もしこのプロセスが責任を持って行われていなかったら、私たちは これまでに記録された最大のデータ漏洩の一つ.

格差が現実のものとなった経緯：大量集計

問題は暗号を解読することではなく、概念的な弱点にあった。 連絡先検索ツール サービスの。WhatsAppでは、ユーザーが電話番号が登録されているかどうかを確認できる。この確認を自動的かつ大規模に繰り返すことで、世界的な追跡が可能になった。

オーストリアの研究者はウェブインターフェースを使って継続的に数字をテストし、 1時間あたり約1億回のチェック 分析期間中、有効な速度制限はありませんでした。この量により、前例のない抽出が可能になりました。

実験の結果は決定的だった。彼らは 3.500億アカウントの電話番号WhatsAppから。 さらに、サンプルの大部分について、公開されているプロフィールデータを関連付けることができました。

具体的には、チームは プロフィール写真へのアクセスは 57% のケースで発生し、公開ステータス テキストまたは追加情報へのアクセスは 29% のケースで発生しました。これらのフィールドは各ユーザーの構成によって異なりますが、大規模に公開されるとリスクが増大します。

• WhatsApp に登録されている 3.500 億の番号が検証されました。
• プロフィール写真が公開されている人は 57% です。
• 検索可能なプロフィールテキストを持つものは 29% です。

事前に警告があったが、間に合わなかった

列挙の弱点は全く新しいものではありませんでした。 すでに2017年にオランダの研究者 ロラン・クローズ彼は、数字のチェックを自動化し、それを目に見えるデータと関連付けることが可能であると警告した。その警告は現在の状況を予兆するものでした。

ウィーンの最近の作品はその考えを極端に推し進め、 示した 電話番号への依存 一意の識別子として問題が残る著者らが指摘するように、数字は 秘密の認証情報として機能するようには設計されていないしかし、実際には多くのサービスでその役割を果たしています。

この研究のもう一つの関連する結論は、個人情報の多くは時間が経ってもその価値を維持するということである。 研究チームは、2021年のフェイスブックの漏洩で公開された携帯電話の58%が彼らは現在も WhatsApp で活動しています。これにより、相関関係の把握と継続的なキャンペーンが容易になります。

数字以外にも、 大量クエリプロセスにより、特定の技術メタデータを推測することが可能になった。、のように クライアントまたはオペレーティングシステムの種類 従業員とデスクトップ バージョンの存在により、プロファイリングの対象領域が増えます。

Metaの回答：速度制限と公式見解

捜査官 彼らは4月にこの発見をMetaに報告し、検証後に生成されたデータベースを削除した。同社は10月にこれを実施した。 より厳しいレート制限措置 ウェブ経由の大規模な列挙をブロックします。

専門メディアに送った声明の中で、メタは同社のプログラムを通じて通知を受けたことに感謝の意を表した。 失敗報酬 彼は、表示される情報は各ユーザーが表示設定したものだと強調した。また、この手法が悪意を持って悪用された証拠は見つかっていないと述べた。

同社は、 メッセージは保護されたまま エンドツーエンドの暗号化と非公開データへのアクセスがなかったことが原因です。暗号システムが破られた兆候はありませんでした。

数回の技術会議を経て、WhatsAppは研究に報奨金を授与した。 17.500ドルチームにとって、このプロセスは、通知後に展開された新しい防御策の有効性を測定およびテストするのに役立ちました。

現実のリスク：詐欺から禁止国での標的型攻撃まで

技術的な側面だけでなく、この露出の主な影響は実用的です。電話番号とプロフィール情報が公開されることで、はるかに容易になります。 ソーシャルエンジニアリングキャンペーンを構築する そして、各被害者の状況情報を悪用する標的型詐欺です。

研究者らはまた、WhatsAppが禁止されている地域で数百万のアクティブアカウントを特定した。 中国、イラン、ミャンマーこれらの番号が見える場合、監視が厳しい状況にあるユーザーには個人的または法的影響が生じる可能性があります。

有効な電話機が大量に入手できることで、 スパム、ドクシング、フィッシング 特に、プロフィール写真や公開テキストに身元、雇用、またはリンクされたソーシャル ネットワークに関する手がかりが含まれている場合は、より高い精度で認識されます。

一度巨大なデータベースに追加されると、情報は何年も流通し、他の漏洩と相まって、 プロフィールを充実させる 攻撃の有効性を高めます。

ヨーロッパとスペイン：なぜそれが重要なのか

WhatsAppが普及しているスペインやその他のEU諸国では、この規模の情報漏洩は 潜在的な影響を懸念何百万人ものユーザーと企業Meta は列挙方法を修正しましたが、この事件により電話番号に依存する設計についての議論が再燃しました。

ヨーロッパの大学チームが関与したこの事件は、連絡先を即座に見つけるといった利便性のために設計された機能でさえも、 堅固で継続的に検証された防御がなければ、リスクの媒介者となる可能性がある。.

また、プライバシー設定を慎重に行う必要性も浮き彫りになっています。プロフィール写真や公開テキストで必要以上に多くの情報が公開されると、それが広く公開されてしまう可能性があります。 脅威の乗数個人およびプロフェッショナルユーザー向け.

安全保障上の義務を負う欧州の組織および行政機関にとって、 アプリ外でのデータの可視性を制限し、内部検証手順を強化することで、攻撃対象領域を減らす なりすましや詐欺キャンペーンの。

今すぐできること

代替識別子がない場合、 ユーザーにとって最善の防御策は オプションを調整するプロフィールのプライバシー 慎重なメッセージング習慣を身につけましょう。

• プロフィール写真と情報を「連絡先」または「誰も表示しない」に制限する.
• ステータス テキストに機密データや個人リンクを含めないようにしてください。.
• 名前や写真が掲載されている場合でも、予期しないメッセージには注意してください.
• 緊急のリクエストや支払いリクエストは二次チャネルを通じて確認する.

大量集計のための具体的な手段は閉ざされているが、このエピソードは 公開識別子と管理における小さな見落としの組み合わせが莫大なリスクにつながる可能性があるという証拠他の人があなたのアカウントを見ることができる範囲を最小限に抑えることで、将来の収集技術の影響を制限することができます。

オーストリアの研究によれば、 共通機能を産業規模で活用して、数十億の数字を検証し、目に見えるプロファイルをそれらに関連付けることができます。メタは制限を厳しくし、虐待の証拠はないと主張しているが、 ソーシャルエンジニアリングのリスク禁止措置とデータの永続化を実施している国々での調査結果は、電話番号ベースの設計を見直し、欧州のユーザーの間でより厳格なプライバシー習慣を奨励する必要性を強調しています。