باحثون نمساويون يكتشفون ثغرة أمنية خطيرة في واتساب تتيح الوصول لـ 3.5 مليار حساب

فيينا – INFOGRAT:

اكتشف باحثون من جامعة فيينا ثغرة أمنية كبيرة في تطبيق واتساب، مما سمح لهم بإجراء تقييم شامل لجميع حسابات واتساب حول العالم وتحديد 3.5 مليار حساب. وقد أعلنت جامعة فيينا يوم الثلاثاء أن واتساب، بالتعاون مع الباحثين، قد قام بإصلاح المشكلة وسد الثغرة، بحسب وكالة الأنباء النمساوية (APA).

تكمن الثغرة في آلية “اكتشاف جهات الاتصال” (Contact Discovery Mechanism) في التطبيق. فعندما يقوم مستخدم واتساب بحفظ رقم هاتف جديد، يمكنه التحقق بسرعة مما إذا كان بإمكانه التواصل مع هذا الشخص عبر واتساب. يقوم واتساب بمزامنة دفتر الهاتف مع خوادم شركة Meta، المشغلة للتطبيق، في الخلفية.

وقد أظهر باحثون من جامعة فيينا ومركز SBA Research لأمن المعلومات كيف يمكن إساءة استخدام هذه الآلية لإجراء تعداد واسع للمستخدمين. تمكن الباحثون من الاستعلام عن أكثر من 100 مليون رقم هاتف في الساعة من الخادم، مما سمح لهم بتأكيد وجود أكثر من 3.5 مليار حساب نشط حول العالم.

وبفضل هذه الثغرة الأمنية، تمكن الباحثون من إرسال عدد غير محدود من الطلبات إلى الخادم، مما أتاح لهم إجراء مسح عالمي. وقد تمكنوا من جمع بيانات مثل أرقام الهواتف، والمفاتيح العامة اللازمة للتشفير من طرف إلى طرف، والطوابع الزمنية، وصور الملف الشخصي والنصوص التعريفية إذا كانت مضبوطة كعامة.

من خلال هذه البيانات، تمكن الخبراء من استخلاص بيانات وصفية إضافية سمحت بالاستدلال على نظام تشغيل المستخدمين، وعمر الحساب، وعدد الأجهزة الثانوية المتصلة، مثل واتساب ويب.

كما تمكن فريق البحث من تحديد ملايين حسابات واتساب النشطة في بلدان يحظر فيها التطبيق رسميا، مثل الصين وإيران وميانمار. وأظهروا أيضا أن ما يقرب من نصف جميع أرقام الهواتف التي ظهرت في تسريب بيانات فيسبوك عام 2021 كانت لا تزال نشطة على واتساب.

وقد أوضح الباحثون أن هذا يكشف عن خطر مستمر للأرقام المخترقة، مثل أن تصبح هدفا لمكالمات الاحتيال.

تمكن الخبراء أيضا من الحصول على بعض النتائج العامة حول مستخدمي واتساب، بما في ذلك التوزيع العالمي لأجهزة Android (81%) مقابل أجهزة iOS (19%)، والاختلافات الإقليمية في سلوك الخصوصية، مثل استخدام صور الملف الشخصي العامة أو النصوص التعريفية، بالإضافة إلى الاختلافات في نشاط ونمو حسابات واتساب في بلدان مختلفة. وقد أبلغ الباحثون نتائجهم إلى Meta، المشغلة لتطبيق واتساب.

تم سد هذه الثغرة منذ ذلك الحين. ويشدد على أنه لم يتم الوصول إلى محتويات الرسائل المشفرة من طرف إلى طرف في الدراسة، ولم يتم نشر أو الكشف عن أي بيانات شخصية. وقد تم حذف جميع البيانات التي تم استردادها قبل نشر نتائج الدراسة.

انتقادات لجمع البيانات الوصفية رغم التشفير

يؤكد المؤلف المشارك أليوشا يودماير من جامعة فيينا أن التشفير من طرف إلى طرف يحمي محتوى الرسائل، ولكنه لا يحمي بالضرورة البيانات الوصفية المرتبطة بها. وتوضح الدراسة، التي سيتم تقديم نتائجها رسميا في فبراير في مؤتمر متخصص في الولايات المتحدة، أن “مخاطر الخصوصية يمكن أن تنشأ أيضا عندما يتم جمع هذه البيانات الوصفية وتحليلها على نطاق واسع”.