نقص فنی واتس‌اپ اطلاعات ۳.۵ میلیارد کاربر را فاش کرد

به گزارش خبرگزاری آنا؛ تیم تحقیقاتی دانشگاه وین اتریش با بررسی دقیق پروتکل‌های ارتباطی واتس‌اپ دریافتند که فقدان محدودیت در نرخ ارسال درخواست‌ها به سرور‌های این شرکت، امکانی را فراهم آورده که از طریق آن می‌توان با تولید و بررسی متوالی شماره‌های تلفن، پایگاه داده‌ای عظیم شامل ۳.۵ میلیارد شماره تلفن فعال به همراه تصاویر پروفایل و اطلاعات کاربری آن‌ها را جمع‌آوری کرد.

مکانیزم شناسایی مخاطبان در این پیام‌رسان که با هدف تسهیل یافتن دوستان و آشنایان طراحی شده است، به محض دریافت یک شماره تلفن، وضعیت عضویت آن را بررسی و در صورت فعال بودن حساب، نام و تصویر کاربر را نمایش می‌دهد؛ همین ویژگی کاربردی به دلیل نبود لایه‌های حفاظتی کافی برای محدودسازی سرعت درخواست‌ها، به نقطه ضعف امنیتی تبدیل شد و پژوهشگران توانستند با استفاده از نسخه تحت وب این برنامه، در هر ساعت وضعیت حدود صد میلیون شماره تلفن را بدون برخورد با هیچ مانع امنیتی رصد و ثبت کنند.

یافته‌های این گروه پژوهشی که تحت عنوان بزرگ‌ترین نشت اطلاعاتی شماره‌های تلفن در تاریخ توصیف شده است، نشان می‌دهد که ابعاد این آسیب‌پذیری بسیار فراتر از صرفاً تایید وجود یک شماره در شبکه است؛ زیرا پژوهشگران موفق شدند برای ۵۷ درصد از شماره‌های شناسایی شده، تصویر پروفایل با کیفیت اصلی و برای ۲۹ درصد دیگر، متن معرفی یا همان بخش About را استخراج کنند که ترکیب این داده‌ها می‌تواند هویت صاحبان شماره‌ها را برای افراد ثالث آشکار سازد.

سوابق موجود نشان می‌دهد که موضوع امکان شمارش و استخراج شماره‌ها پدیده جدیدی نیست و هشت سال پیش در سال ۲۰۱۷، لوران کلوز، پژوهشگر هلندی، طی گزارشی دقیق به شرکت متا هشدار داده بود که امکان ایجاد پایگاه داده‌های عظیم هویتی با این روش وجود دارد، اما مدیران وقت این شرکت با استدلال اینکه کاربران خود تنظیمات حریم خصوصی را تعیین می‌کنند، از اعمال محدودیت‌های فنی خودداری کردند و حتی این گزارش را شایسته دریافت پاداش باگ‌بانتی ندانستند.

شرکت متا پس از دریافت گزارش جدید تیم دانشگاه وین در فروردین سال جاری و مشاهده ابعاد گسترده نشت اطلاعات، سرانجام در مهر ماه با اعمال تغییرات در زیرساخت‌های خود، سیستم محدودکننده نرخ درخواست را فعال کرد تا از تکرار چنین عملیاتی جلوگیری کند؛ نیتین گوپتا، معاون مهندسی واتس‌اپ، ضمن تایید این موضوع اعلام کرد که سیستم‌های هوشمند ضد داده‌کاوی این شرکت برای مقابله با ربات‌ها تقویت شده‌اند و شواهدی مبنی بر سوءاستفاده مخرب از این روش توسط هکر‌ها مشاهده نشده است.

داده‌های جمع‌آوری شده توسط پژوهشگران نشان می‌دهد که میزان حساسیت کاربران به تنظیمات حریم خصوصی در کشور‌های مختلف تفاوت چشمگیری دارد؛ چنانکه در هند با حدود ۷۵۰ میلیون شماره رصد شده، ۶۲ درصد کاربران تصویر پروفایل خود را در معرض دید عموم قرار داده بودند و در برزیل این رقم ۶۱ درصد بود، در حالی که در ایالات متحده تنها ۴۴ درصد از ۱۳۷ میلیون شماره بررسی شده، دارای تصویر پروفایل عمومی بودند.

تحلیل‌گران امنیت سایبری بر این باورند که خطر اصلی این نشت اطلاعات فقط متوجه کاربران عادی برای دریافت پیام‌های اسپم نیست، بلکه فعالان مدنی و شهروندان ساکن در کشور‌هایی که استفاده از واتس‌اپ در آن‌ها ممنوع است، در معرض ریسک بالایی قرار دارند؛ برای نمونه، شناسایی ۲.۳ میلیون شماره در چین و ۱.۶ میلیون شماره در میانمار نشان می‌دهد که دولت‌های این کشور‌ها می‌توانند با استفاده از روشی مشابه، شهروندانی را که برخلاف قوانین از این پیام‌رسان استفاده می‌کنند شناسایی و تحت پیگرد قرار دهند.

بررسی‌های فنی عمیق‌تر روی داده‌های استخراج شده نکات قابل تاملی را در مورد امنیت رمزنگاری برخی حساب‌ها آشکار کرد؛ پژوهشگران متوجه شدند که در میان ۳.۵ میلیارد حساب بررسی شده، تعداد قابل توجهی از کلید‌های رمزنگاری تکراری وجود دارد و حتی برخی شماره‌ها از کلید‌های تماماً صفر استفاده می‌کنند که این موضوع احتمالاً ناشی از استفاده کاربران از نسخه‌های غیررسمی و کلاینت‌های دستکاری شده واتس‌اپ است که پروتکل‌های رمزنگاری سرتاسری را به درستی پیاده‌سازی نمی‌کنند.

ریشه اصلی این آسیب‌پذیری به ماهیت شماره‌های تلفن بازمی‌گردد که برخلاف شناسه‌های کاربری سیستمی، فاقد خاصیت تصادفی بودن هستند و از الگو‌های مشخص و محدود پیروی می‌کنند؛ این ساختار قابل پیش‌بینی باعث می‌شود که مهاجمان بتوانند با تولید بازه‌های عددی، تمام شماره‌های ممکن یک اپراتور یا کشور را بررسی کنند و تا زمانی که واتس‌اپ و سرویس‌های مشابه از شماره تلفن به عنوان شناسه اصلی استفاده می‌کنند، خطر داده‌کاوی انبوه همواره وجود خواهد داشت.

راهکار نهایی برای عبور از این چالش امنیتی، تغییر رویکرد در احراز هویت و حرکت به سمت استفاده از نام‌های کاربری به جای شماره تلفن است؛ موضوعی که واتس‌اپ اخیراً آزمایش آن را در نسخه‌های بتا آغاز کرده است تا با مخفی کردن شماره تماس کاربران، امکان ارتباط را صرفاً از طریق نام کاربری فراهم کند و بدین ترتیب، دسترسی افراد ناشناس به اطلاعات شخصی کاربران را محدود سازد.