فاش شدن شماره تلفن کاربران با مخفف WhatsApp

به گزارش ایسنا، این آسیب‌پذیری در قابلیت کشف مخاطبین این پیام‌رسان، علی‌رغم هشدارهایی که از سال ۲۰۱۷ به شرکت متا داده، همچنان پابرجاست و نگرانی‌های جدی را در مورد حفظ حریم خصوصی کاربران در پرکاربردترین پلتفرم پیام‌رسان جهان ایجاد می‌کند.

نقص امنیتی در مکانیسم کشف تماس داخلی واتس اپ بود که نشان می داد آیا کاربر در سرویس است یا خیر، جزئیات عمومی مانند تصاویر نمایه و متن های وضعیت را هنگام وارد کردن شماره تلفن فاش می کرد.

محققان امنیتی در دانشگاه وین این نقص را با پرس و جوی سیستماتیک از میلیاردها شماره احتمالی و تأیید حساب های فعال با نرخ بیش از 100 میلیون در ساعت بدون هیچ محدودیتی از واتس اپ نشان دادند.

مطالعه آنها که بین دسامبر 2024 و آوریل 2025 انجام شد، از ابزاری به نام Libfungen برای ایجاد یک مجموعه داده جامع برای تولید شماره تلفن واقعی در 245 کشور استفاده کرد. با استفاده از پروتکل XMPP واتس اپ از طریق یک کلاینت متن باز اصلاح شده، این تیم نه تنها به شماره تلفن ها، بلکه به کلیدهای رمزگذاری، مهرهای زمانی و اطلاعات نمایه عمومی در 56.7 درصد از حساب ها نیز دسترسی پیدا کرد.

محققان تنها از پنج حساب کاربری معتبر در سرور دانشگاه برای غربالگری 63 میلیارد عدد بالقوه استفاده کردند و 3.5 میلیارد شماره فعال را در کمتر از شش ماه شناسایی کردند.

به گزارش Cybersecurity News، این مطالعه 2.9 میلیون مورد استفاده مجدد از کلید عمومی را نشان داد که در صورت سوء استفاده توسط عوامل مخرب با استفاده از کلاینت‌های غیررسمی، می‌تواند رمزگذاری انتها به انتها را تضعیف کند.

این آسیب پذیری هشدارهای قبلی را تکرار می کند. یک محقق این مشکل را در سال 2017 گزارش کرد، اما متا رفع آن را هشت سال به تعویق انداخت. داده های افشا شده به طور قابل توجهی با نقض های قبلی مانند نشت 500 میلیون شماره فیس بوک در سال 2021 همپوشانی دارند که تقریباً نیمی از آنها در واتس اپ فعال بودند و خطرات کلاهبرداری و حملات هدفمند را افزایش می دهد.

محققان اتریشی در ماه آوریل این مشکل را به متا اطلاع دادند و این شرکت برای جلوگیری از شناسایی چنین تماس هایی در مقیاس بزرگ، محدودیت نرخ را تا اکتبر اعمال کرد. اما این محدودیت برای چندین سال اجرا نشد و در آن سال ها هر نوع عامل مخربی می توانست از این نقص امنیتی سوء استفاده کند.

انتهای پیام