شوکه کننده: شماره موبایل همه کاربران واتساپ لو رفت

به گزارش خبرمحور به نقل از فارس، محققان اتریشی از کشف یکی از بزرگترین ضعف‌های امنیتی واتساپ در سال‌های اخیر خبر داده‌اند؛ ضعفی که تنها با یک روش کاملاً معمولی و بدون نیاز به هک حرفه‌ای، امکان استخراج شماره تلفن همه کاربران واتساپ را فراهم می‌کرد. این محققان اعلام کرده‌اند که توانسته‌اند شماره تلفن ۳.۵ میلیارد کاربر این پیام رسان را جمع‌آوری کنند و در بسیاری از موارد به عکس پروفایل و متن نوشته شده در بخش اطلاعات حساب نیز دسترسی داشته‌اند؛ اتفاقی که می‌تواند پیامدهای امنیتی و حریم خصوصی گسترده‌ای در سطح جهانی داشته باشد.

طبق توضیحات این تیم پژوهشی، روش استفاده شده نه یک حمله پیچیده بوده و نه شکستن رمزگذاری پیام‌ها؛ بلکه تنها به امکانات معمولی واتساپ متکی بوده است. هر کاربر وقتی شماره‌ای را به گوشی خود اضافه می‌کند، واتساپ نمایش می‌دهد که آیا آن شماره حساب فعال دارد یا خیر و اگر داشته باشد، تصویر و اطلاعات نمایه را نشان می‌دهد. محققان دقیقاً همین روند را در مقیاسی بسیار گسترده انجام داده‌اند.

روش ساده‌ای که امنیت واتساپ را زیر سوال برد

این تیم تحقیقاتی با استفاده از نسخه تحت وب واتساپ و یک رابط کاربری ماشینی توانست در هر ساعت حدود ۱۰۰ میلیون شماره تلفن را بررسی کند. به بیان دیگر، آنها میلیاردها شماره را به صورت خودکار به سیستم افزودند و واتساپ نیز مانند یک کاربر معمولی برای هر شماره اعلام کرد که آیا حساب فعال دارد یا نه.

در بیش از نیمی از موارد، واتساپ علاوه بر تایید حساب، تصویر نمایه کاربران را نیز نمایش داده و برای ۲۹ درصد دیگر متن بیوی کاربران نیز در معرض دید قرار گرفته است.

این اتفاق نشان می‌دهد که یک ضعف ساختاری در شیوه نمایش اطلاعات عمومی کاربران وجود داشته و واتساپ هیچگونه محدودیتی برای جلوگیری از این نوع استخراج انبوه در نظر نگرفته بود.

هشدار 8 سال قبل و بی‌توجهی متا

بر اساس گزارش منتشرشده، این مشکل جدید نیست. هشت سال پیش یک پژوهشگر دیگر موضوع مشابهی را به شرکت متا (مالک واتساپ) گزارش داده بود، اما به نظر می‌رسد هیچ اقدام عملی و مؤثری انجام نشده است.

محققان اتریشی نیز فروردین امسال دوباره این ضعف را به متا اطلاع داده‌اند و تنها پس از چند ماه، آن هم با فشار رسانه‌ای، بخش زیادی از این مشکل برطرف شده است.

متا در پاسخ رسمی خود ادعا کرده که این اطلاعات «عمومی» بوده و تنها برای کاربرانی که تنظیمات خصوصی‌سازی حساب خود را فعال نکرده‌اند قابل مشاهده بوده است. این شرکت همچنین تاکید کرده که هیچ داده خصوصی یا محتوای پیام‌ها در دسترس قرار نگرفته است.

پیامدهای امنیتی و سوءاستفاده احتمالی

با وجود ادعای متا، کارشناسان امنیتی معتقدند استخراج ۳.۵ میلیارد شماره همراه می‌تواند به حملات وسیع سایبری منجر شود. بسیاری از کلاهبرداری‌ها و فیشینگ‌ها از طریق شماره موبایل آغاز می‌شود و دسترسی هکرها به چنین بانک عظیمی از اطلاعات، مخاطرات جدی دارد.

سناریوهای احتمالی سوءاستفاده شامل موارد زیر است:

• ارسال پیام‌های جعلی و فیشینگ در مقیاس میلیونی

• فروش داده‌ها به شبکه‌های هرمی و کلاهبرداری

• هدف‌گیری کاربران خاص با پروفایل‌های قابل مشاهده

• جمع‌آوری اطلاعات جانبی برای ساخت هویت‌های جعلی

محققان می‌گویند حتی اگر این داده‌ها عمومی باشند، تجمیع و دسته‌بندی آنها در مقیاس میلیاردی می‌تواند ارزش بسیار زیادی برای گروه‌های تبهکاری داشته باشد.

آیا مشکل واقعاً رفع شده است؟

متا اعلام کرده که از ماه گذشته محدودیت‌های جدیدی برای جلوگیری از افزودن انبوه شماره‌ها وضع شده است. با این حال تیم پژوهشی معتقد است همچنان امکان انجام چنین حملاتی به شکل محدودتر وجود دارد و واتساپ نیازمند اصلاحات اساسی در نحوه نمایش اطلاعات پروفایل است.

کارشناسان امنیتی همچنین پیشنهاد داده‌اند که واتساپ گزینه‌ای برای جلوگیری کامل از نمایش تصاویر پروفایل و بیو به شماره‌های ذخیره‌نشده اضافه کند؛ قابلیتی که برخی پیام‌رسان‌های رقیب از مدت‌ها قبل ارائه می‌دهند.

جمع‌بندی کوتاه

کشف محققان اتریشی نشان می‌دهد یک ضعف ساده و قدیمی در واتساپ امکان استخراج شماره تلفن میلیاردها کاربر را فراهم کرده بود. اگرچه متا مدعی رفع مشکل است، اما کارشناسان همچنان درباره پیامدهای امنیتی و ضرورت اصلاحات جدی در این پیام رسان هشدار می‌دهند.