Propust je pronađen u mehanizmu za otkrivanje kontakata, koji služi za identifikovanje korisnika na osnovu brojeva iz imenika. Meta je nakon prijave ranjivost zakrpila u saradnji sa istraživačima.
Ono što ovu situaciju čini posebno zabrinjavajućom je činjenica da je sistem dozvoljavao slanje preko sto miliona upita na sat. To je istraživačima omogućilo da praktično naprave mapu korisnika na globalnom nivou, uključujući zemlje u kojima je WhatsApp zvanično zabranjen kao što su Kina, Iran i Mjanmar.
Kako je otkriven propust
Vocap odgovara na upite koji se šalju putem sistema za otkrivanje kontakata. Umjesto da ograniči broj zahtjeva po izvoru, sistem je dozvoljavao neograničeno skeniranje brojeva, što je omogućilo masovno prikupljanje podataka.
Istraživači ističu da su podaci koji su postali dostupni javni onoliko koliko bi bili dostupni svakome ko zna nečiji broj telefona. Međutim, kroz analizu metapodataka uspeli su da izvedu dodatne zaključke kao što su starost naloga, operativni sistem uređaja i broj povezanih uređaja.
Podaci do kojih su istraživači došli
Prema objavljenoj studiji, otkriveno je nekoliko ključnih stvari. Globalna distribucija korisnika Android uređaja iznosi oko 81 procent, dok iOS drži samo 19 procenata. Otkriveno je i da veliki broj korisnika koristi javno vidljive profilne slike i opise, što dodatno olakšava identifikaciju.
Posebno zabrinjava podatak da je skoro polovina brojeva procurelih u Facebook curenju iz 2018. godine i dalje aktivna na WhatsAppu. To znači da rizici od prevara, spam poziva i ciljanih zloupotreba ostaju dugoročni.
Meta skinula ranjivost i zahvalila istraživačima
Meta je potvrdila otkriće i istakla da incident nije doveo do kompromitovanja poruka, jer su one i dalje zaštićene end-to-end enkripcijom. Kompanija navodi da su istraživačima zahvalni na saradnji i da je propust iskorišćen isključivo u istraživačke svrhe uz potpuno brisanje prikupljenih podataka.
Iz kompanije poručuju da su već radili na sistemima protiv masovnog skrejpa podataka i da je ova studija pomogla da se novi sistemi dodatno testiraju i dotjeraju. Nema dokaza da su ranjivost iskoristili akteri sa malicioznim namerama.
Šta ovo znači za korisnike
Iako poruke ostaju šifrovane i sigurne, studija pokazuje da metadata može da otkrije mnogo više nego što deluje na prvi pogled. Kroz kombinovanje podataka moguće je doći do zaključaka o navikama korisnika, uređajima, istoriji aktivnosti i demografskim trendovima.
Istraživači poručuju da čak i velike i etablirane platforme moraju stalno biti pod lupom, jer bezbjednost nije konačan proizvod, već proces koji zahtjeva stalne provjere i nezavisno istraživanje, prenosi Telegraf.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.