O vulnerabilitate critică în mecanismul de funcționare al WhatsApp a permis, teoretic, extragerea numărului de telefon pentru aproape fiecare utilizator al platformei de mesagerie. Cercetători de la Universitatea din Viena au demonstrat că, folosind un exploit relativ simplu, au putut obține un set de date cu 3,5 miliarde de numere de telefon, alături de informații asociate precum nume afișate și, în unele cazuri, fotografii de profil.
Ceea ce face situația și mai gravă este faptul că Meta fusese avertizată despre această problemă încă din 2017, dar protecțiile necesare nu au fost implementate decât recent, după noul studiu.
Cum funcționa exploit-ul: o funcție utilă transformată în vector de atac
Succesul WhatsApp se bazează și pe simplitatea cu care utilizatorii pot găsi contacte: introduci un număr de telefon, iar aplicația îți arată imediat dacă persoana respectivă folosește serviciul, împreună cu numele de profil și, adesea, o fotografie.
Cercetătorii au arătat că aceeași funcționalitate poate fi abuzată la scară masivă:
- sistemul nu impunea limite stricte pentru numărul de verificări de telefon efectuate;
- prin generarea sistematică a aproape tuturor combinațiilor posibile de numere, se putea verifica automat cine are cont de WhatsApp;
- pentru fiecare număr valid, erau recuperate detalii de profil publice.
În doar 30 de minute, echipa a reușit să obțină circa 30 de milioane de numere de telefon din SUA, continuând…
