Вразливість WhatsApp: Нові дані про безпеку користувачів

Вчені з Віденського університету виявили серйозну уразливість у WhatsApp, яка давала можливість зловмисникам масово збирати телефонні номери користувачів через механізм контактів. Завдяки простому перебору номерів через вебверсію, вони отримали доступ до більше ніж 3,5 мільярда записів, фактично отримавши базу телефонів більшості користувачів платформи. Про це згадує Wired.
Крім телефонних номерів, дослідники також змогли завантажити аватари профілів для 57% акаунтів та публічний текст профілю для 29%, оскільки ця інформація доступна всім, хто додає номер у контакти. Команда повідомила Meta про цю проблему в квітні 2025 року і знищила зібрані дані. У жовтні компанія запровадила нові обмеження на швидкість запитів, щоб уникнути масових перевірок.
Meta зазначила, що не виявила жодних ознак зловмисного використання цього методу, а надана інформація була "базовими публічними даними". Проте дослідники підкреслюють, що механізми захисту не були наявні – їх просто не існувало. Інший дослідник ще у 2017 році описував подібну вразливість, але вона залишалася непоміченою.
Аналіз також показав велику кількість акаунтів з публічною інформацією. Наприклад, серед 137 мільйонів номерів з США 44% мали відкриті фото. В Індії, де WhatsApp найбільш популярний, цей показник сягнув 62%.
Дослідники вважають, що бази даних такого масшту можуть зацікавити спам-компанії або уряди країн, де WhatsApp заблоковано. Вони виявили 2,3 мільйона номерів з Китаю та 1,6 мільйона з М'янми, що створює ризики для користувачів у цих країнах.
Команда також виявила повторювані криптографічні ключі у частини акаунтів – це може свідчити про використання неофіційних клієнтів WhatsApp, зокрема тими, хто здійснює шахрайство.
Дослідники підсумовують, що основна проблема – це використання телефонного номера як універсального ідентифікатора. Він не був спочатку задуманий як приватний або унікальний ключ, але у WhatsApp саме він слугує основою для пошуку та підтвердження акаунтів. Meta вже тестує систему нікнеймів як альтернативу.