Підставивши десятки мільярдів номерів телефону у функцію виявлення контактів WhatsApp, дослідники отримали доступ до “наймасштабнішого витоку номерів телефонів” в історії, разом із фотографіями профілів та іншою інформацією.
Масове поширення WhatsApp частково пояснюється простотою пошуку нового контакту у застосунку: достатньо додати номер телефону, і WhatsApp миттєво показує, чи зареєстрований він у сервісі, а часто також відображає фотографію профілю та ім’я.
Як виявилося, якщо повторити цей самий трюк кілька мільярдів разів для всіх можливих номерів телефонів, ця сама функція може слугувати зручним способом отримати номер майже кожного користувача WhatsApp у світі, а також, у багатьох випадках, їхні фотографії профілю та текст, що ідентифікує користувача. Результатом є масштабне розкриття персональної інформації значної частини населення планети.
Група австрійських дослідників продемонструвала, що змогла скористатися цим простим методом перевірки кожного можливого номера у функції виявлення контактів WhatsApp, щоб зібрати номери телефонів 3,5 мільярда користувачів сервісу. Для приблизно 57 відсотків цих користувачів вони також отримали доступ до фотографій профілів, а ще для 29 відсотків – до тексту профілів. Попри попередження про цю вразливість, озвучене іншим дослідником у 2017 році, материнська компанія сервісу, Meta, як стверджують дослідники, не обмежила швидкість або кількість запитів функції виявлення контактів, які можна було виконувати через вебверсію WhatsApp. Це дозволило перевіряти приблизно сто мільйонів номерів на годину.
Результат, як зазначено у статті дослідників, став би “найбільшим витоком даних в історії, якби не був зібраний в межах відповідально проведеного дослідження”.
“Наскільки нам відомо, це є наймасштабнішим задокументованим розкриттям номерів телефонів та пов’язаних даних користувачів”, говорить Альйоша Юдмайєр, один із дослідників Віденського університету, що працював над цим проєктом.
Дослідники стверджують, що повідомили Meta про результати у квітні та видалили свою копію 3,5 мільярда номерів телефону. До жовтня компанія виправила проблему перебирання номерів, запровадивши суворіше обмеження швидкості, яке унеможливило масовий збір даних тим способом, який використали дослідники. Але до цього моменту, як зазначає Макс Гюнтер, ще один дослідник Віденського університету, дані могли бути використані будь-ким, хто застосовував таку ж техніку. “Якщо ми могли отримати це настільки легко, інші теж могли зробити те саме”, говорить він.
У заяві для WIRED Meta подякувала дослідникам, які повідомили про проблему через систему винагороди за знайдені вразливості, та охарактеризувала оприлюднені дані як “базову загальнодоступну інформацію”, адже фотографії профілів та текст були недоступні для тих користувачів, які встановили приватні налаштування. “Ми вже працювали над провідними в індустрії системами протидії збиранню даних, і це дослідження допомогло перевірити та підтвердити ефективність цих нових засобів захисту”, пише Нітін Гупта, віцепрезидент з інженерії WhatsApp. Гупта додає: “Ми не виявили доказів, що зловмисники використовували цей вектор атаки. Повідомлення користувачів залишалися приватними та захищеними завдяки наскрізному шифруванню за замовчуванням, і жодні непублічні дані не були доступні для дослідників”.
Попри опис Meta, дослідники стверджують, що вони не обходили і навіть не стикалися з будь-якими “засобами захисту” під час збору номерів телефонів. І це не перший випадок, коли WhatsApp попереджали про витік номерів телефонів та пов’язаної з ними інформації. Ще в 2017 році нідерландський дослідник Лоран Кльоезе написав блог, у якому описав можливість перебирання номерів телефону і те, що це дозволяє отримати номери, фотографії профілів та навіть час, коли користувач перебуває онлайн.
Кльоезе описав сценарій, у якому розкриття таких даних могло би бути поєднане з розпізнаванням облич, створивши величезну базу персональних ідентифікаторів. “Це доволі лякає, чи не так?” написав він. Meta, яка на той момент ще носила назву Facebook, відповіла на його висновки, заявивши, що налаштування приватності WhatsApp працюють так, як було задумано – користувачі можуть обирати, хто бачить їхню інформацію профілю, – і навіть повідомила, що він не має права на винагороду за знайдену вразливість.
Коли WIRED попросив Meta пояснити, які обмеження швидкості компанія ввела за останні вісім років для запобігання техніці, описаній Кльоезе, компанія відповіла, що дійсно впровадила різні засоби боротьби зі збиранням даних, включно з обмеженнями швидкості та алгоритмами машинного навчання для блокування скреперів. Однак дослідники Віденського університету змогли не лише відтворити висновки Кльоезе, а й значно розширити їх, фактично перебравши всі 3,5 мільярда зареєстрованих номерів телефонів WhatsApp – набагато більше, ніж був розмір сервісу у 2017 році. Вони також відповіли на аргумент WhatsApp про налаштування конфіденційності, вимірявши, скільки користувачів відкрито публікують особисту інформацію в профілі, та зробивши розподіл за країнами. Виявилося, що 44 відсотки з 137 мільйонів зібраних американських номерів відображали фотографії, а 33 відсотки мали публічний текст у розділі “про себе”.
У країнах, де WhatsApp ще більш поширений, менша частка користувачів увімкнула суворі налаштування приватності. В Індії, де дослідники виявили майже 750 мільйонів номерів, 62 відсотки акаунтів відкрито демонстрували фотографії профілю. Серед 206 мільйонів бразильських номерів 61 відсоток мав відкриті фотографії профілю.
Дослідники Віденського університету натрапили на проблему перебирання номерів WhatsApp минулого року, коли перевіряли, яку інформацію про користувачів можна отримати, попри наскрізне шифрування повідомлень, наприклад часи, коли користувач підключається через десктопну версію або мобільну. Вони помітили, що застосунок не має очевидних обмежень швидкості, тому спробували просто перебрати всі номери у США. “За півгодини ми отримали приблизно 30 мільйонів номерів у США”, говорить Габріель Гегенхубер, один із дослідників. “Ми були здивовані. І продовжили”.
Однією з груп, які могли б зацікавитися зібраними номерами телефонів, на думку дослідників, є шахраї та спамери, яким потрібні великі бази потенційних жертв. Але вони також виявили мільйони номерів, зареєстрованих у WhatsApp у країнах, де сервіс офіційно заборонений, зокрема 2,3 мільйона у Китаї та 1,6 мільйона у М’янмі. Владі цих країн такий витік міг би дозволити виявляти користувачів забороненого застосунку. За деякими повідомленнями, мусульман у Китаї затримували лише через встановлений WhatsApp.
Дослідники також проаналізували криптографічні ключі для 3,5 мільярда акаунтів, які були знайдені через перебирання номерів. Це довгі рядки символів, які дозволяють отримувати зашифровані повідомлення в системі наскрізного шифрування WhatsApp. Дивовижно, але значна кількість акаунтів використовувала однакові ключі – це є серйозною проблемою безпеки, адже будь-хто, хто має однаковий ключ, може розшифрувати повідомлення, надіслані відповідному користувачу.
Було виявлено випадки, коли ключ повторювався сотні разів, а 20 номерів у США використовували ключ, який складався лише з нулів. Дослідники припускають, що дублювання ключів, імовірно, є результатом роботи неофіційних клієнтів WhatsApp, а не помилкою сервісу. У деяких акаунтів з повторюваними ключами вони помітили ознаки шахрайської активності, що може свідчити, що певні операції зі зловживання WhatsApp використовують клієнти із зламаною криптосистемою.
Окрім відсутності обмежень швидкості, дослідники вказують ще на одну фундаментальну проблему сервісів, подібних до WhatsApp: номери телефонів не мають достатньої випадковості, щоб бути надійним унікальним ідентифікатором для сервісу з мільярдами користувачів. Це залишає обмеження швидкості єдиним доступним механізмом захисту від масового збору даних, і таким, що ніколи не буде повністю надійним, якщо WhatsApp ставитиме пріоритет на зручність пошуку контактів. (WhatsApp справді почав тестувати у бета-версії функцію використання імені користувача, що може покращити ситуацію з конфіденційністю.)
“Номери телефонів не були створені для використання як секретні ідентифікатори акаунтів, але саме так вони використовуються на практиці”, говорить Юдмайєр. “Якщо послугою користується понад третина населення планети, і саме такий механізм виявлення контактів застосовується, це є проблемою.”
