Поместив десятки миллиардов телефонных номеров в функцию обнаружения контактов WhatsApp, исследователи получили доступ к” самой обширной утечке телефонных номеров » в истории вместе с фотографиями профилей и другой информацией.
Массовое распространение WhatsApp частично объясняется простотой поиска нового контакта в приложении: достаточно добавить номер телефона, и WhatsApp мгновенно показывает, зарегистрирован ли он в сервисе, а часто также отображает фотографию профиля и имя.
Как оказалось, если повторить тот же трюк несколько миллиардов раз для всех возможных телефонных номеров, эта же функция может служить удобным способом получить номер почти каждого пользователя WhatsApp в мире, а также, во многих случаях, их фотографии профиля и текст, идентифицирующий пользователя. Результатом является масштабное раскрытие персональной информации значительной части населения планеты.
Группа австрийских исследователей продемонстрировала, что смогла воспользоваться этим простым методом проверки каждого возможного номера в функции обнаружения контактов WhatsApp, чтобы собрать номера телефонов 3,5 миллиарда пользователей сервиса. Примерно для 57 процентов этих пользователей они также получили доступ к фотографиям профилей, а еще для 29 процентов – к тексту профилей. Несмотря на предупреждение об этой уязвимости, озвученное другим исследователем в 2017 году, материнская компания сервиса, Meta, как утверждают исследователи, не ограничила скорость или количество запросов функции обнаружения контактов, которые можно было выполнять через вебверсию WhatsApp. Это позволило проверять примерно сто миллионов номеров в час.
Результат, как указано в статье исследователей, стал бы “самой большой утечкой данных в истории, если бы не был собран в рамках ответственно проведенного исследования”.
«Насколько нам известно, это самое обширное задокументированное раскрытие телефонных номеров и связанных с ними пользовательских данных”, — говорит Альеша Юдмайер, один из исследователей Венского университета, работавший над этим проектом.
Исследователи говорят, что сообщили Meta о результатах в апреле и удалили свою копию 3,5 миллиарда телефонных номеров. К октябрю компания исправила проблему переборки номеров, введя более строгое ограничение скорости, которое сделало невозможным массовый сбор данных тем способом, который использовали исследователи. Но к этому моменту, как отмечает Макс Гюнтер, еще один исследователь Венского университета, данные могли быть использованы любым, кто использовал ту же технику. «Если бы мы могли получить это так легко, другие тоже могли бы сделать то же самое”, — говорит он.
В заявлении для WIRED Meta поблагодарила исследователей, которые сообщили о проблеме через систему вознаграждения за найденные уязвимости, и охарактеризовала обнародованные данные как “базовую общедоступную информацию”, ведь фотографии профилей и текст были недоступны для тех пользователей, которые установили частные настройки. «Мы уже работали над ведущими в отрасли системами противодействия сбору данных, и это исследование помогло проверить и подтвердить эффективность этих новых средств защиты”, — пишет Нитин Гупта, вице-президент по разработке WhatsApp. Гупта добавляет: «Мы не обнаружили доказательств того, что злоумышленники использовали этот вектор атаки. Сообщения пользователей оставались конфиденциальными и защищенными благодаря сквозному шифрованию по умолчанию, и никаких непубличных данных для исследователей не было”.
Несмотря на описание Meta, исследователи утверждают, что они не обходили и даже не сталкивались с какими-либо “средствами защиты” при сборе номеров телефонов. И это не первый случай, когда WhatsApp предупреждают об утечке телефонных номеров и связанной с ними информации. Еще в 2017 году нидерландский исследователь Лоран Кльезе написал блог, в котором описал возможность перебирания номеров телефона и то, что это позволяет получить номера, фотографии профилей и даже время, когда пользователь находится онлайн.
Клезе описал сценарий, в котором раскрытие таких данных может быть связано с распознаванием лиц, создавая огромную базу личных идентификаторов. «Это довольно пугает, не так ли?»написал он. Meta, которая на тот момент еще носила название Facebook, ответила на его выводы, заявив, что настройки конфиденциальности WhatsApp работают так, как задумано – пользователи могут выбирать, кто видит их информацию профиля, – и даже сообщила, что он не имеет права на вознаграждение за найденную уязвимость.
Когда WIRED попросил Meta объяснить, какие ограничения скорости компания ввела за последние восемь лет для предотвращения техники, описанной Клезе, компания ответила, что действительно внедрила различные средства борьбы со сбором данных, включая ограничения скорости и алгоритмы машинного обучения для блокировки скребков. Однако исследователи из Венского университета смогли не только воспроизвести результаты Клезе, но и значительно расширить их, фактически просмотрев все 3,5 миллиарда зарегистрированных телефонных номеров WhatsApp – намного больше, чем был размер сервиса в 2017 году. Они также ответили на аргумент WhatsApp о настройках конфиденциальности, измерив, сколько пользователей открыто публикуют личную информацию в профиле, и сделав распределение по странам. Оказалось, что 44 процента из 137 миллионов собранных американских номеров отображали фотографии, а 33 процента имели публичный текст в разделе “о себе”.
В странах, где WhatsApp еще более распространен, меньшая доля пользователей включила строгие настройки конфиденциальности. В Индии, где исследователи обнаружили почти 750 миллионов номеров, 62 процента аккаунтов открыто демонстрировали фотографии профиля. Среди 206 миллионов бразильских номеров 61 процент имели открытые фотографии профиля.
Исследователи Венского университета наткнулись на проблему переборки номеров WhatsApp в прошлом году, когда проверяли, какую информацию о пользователях можно получить, несмотря на сквозное шифрование сообщений, например времена, когда пользователь подключается через десктопную версию или мобильную. Они заметили, что приложение не имеет очевидных ограничений скорости, поэтому попытались просто перебрать все номера в США. «За полчаса мы получили около 30 миллионов номеров в США”, — говорит Габриэль Хегенхубер, один из исследователей. «Мы были удивлены. И продолжили».
По словам исследователей, одной из групп, которые могут заинтересоваться собранными номерами телефонов, являются мошенники и спамеры, которым нужны большие базы потенциальных жертв. Но они также обнаружили миллионы номеров, зарегистрированных в WhatsApp в странах, где сервис официально запрещен, в том числе 2,3 миллиона в Китае и 1,6 миллиона в Мьянме. Властям этих стран такая утечка могла бы позволить выявлять пользователей запрещенного приложения. По некоторым сообщениям, мусульман в Китае задерживали только из-за установленного WhatsApp.
Исследователи также проанализировали криптографические ключи для 3,5 миллиардов учетных записей, которые были обнаружены при переборке номеров. Это длинные строки символов, которые позволяют получать зашифрованные сообщения в системе сквозного шифрования WhatsApp. Удивительно, но значительное количество учетных записей использовали одни и те же ключи – это серьезная проблема безопасности, потому что любой, у кого один и тот же ключ, может расшифровать сообщения, отправленные соответствующему Пользователю.
Были обнаружены случаи, когда ключ повторялся сотни раз, а 20 номеров в США использовали ключ, состоящий только из нулей. Исследователи предполагают, что дублирование ключей, вероятно, является результатом работы неофициальных клиентов WhatsApp, а не ошибкой сервиса. В некоторых учетных записях с повторяющимися ключами они заметили признаки мошеннической активности, которые могут указывать на то, что некоторые операции по злоупотреблению WhatsApp используются клиентами со взломанной криптосистемой.
Помимо отсутствия ограничений скорости, исследователи указывают на еще одну фундаментальную проблему сервисов, подобных WhatsApp: номера телефонов не имеют достаточной случайности, чтобы быть надежным уникальным идентификатором для сервиса с миллиардами пользователей. Это оставляет ограничение скорости единственным доступным механизмом защиты от массового сбора данных, который никогда не будет полностью надежным, если WhatsApp будет уделять приоритетное внимание удобству поиска контактов. (WhatsApp действительно начал тестировать в бета-версии функцию использования имени пользователя, которая может улучшить конфиденциальность).
«Номера телефонов не были созданы для использования в качестве секретных идентификаторов учетных записей, но именно так они используются на практике”, — говорит Юдмайер. «Если услугой пользуется более трети населения планеты, и именно такой механизм обнаружения контактов применяется, это является проблемой”.
