„Útok“ bez hackerských triků
Představte si, že chcete zjistit, kdo všechno používá WhatsApp. Stačí vzít nějaké telefonní číslo, zkusit ho přidat do kontaktů a aplikace vám okamžitě řekne, jestli daný člověk WhatsApp má. Navíc vám často ukáže jeho profilovou fotku a text v profilu.
Přesně tohle udělali výzkumníci z Vídeňské univerzity – pouze to zopakovali několik miliardkrát. Využili webovou verzi WhatsAppu a systematicky zkoušeli všechna možná telefonní čísla. Výsledek? Získali kompletní seznam 3,5 miliardy aktivních účtů. U 57 % uživatelů navíc stáhli profilové fotky a u dalších 29 % získali i texty z jejich profilů.
Mohlo by vás zajímat
Meta problém ignorovala osm let
Na tento problém upozornil WhatsApp už v roce 2017 holandský výzkumník. Meta tehdy tvrdila, že vše funguje správně a odmítla mu vyplatit odměnu. Vídeňští vědci našli stejnou zranitelnost loni a Meta na jejich varování nereagovala celý rok. Teprve když hrozilo zveřejnění studie, společnost v říjnu 2024 konečně zavedla omezení. Do té doby bylo možné prověřovat kolem 100 milionů telefonních čísel za hodinu.
Výzkumníci se nedostali k obsahu zpráv – ty zůstávají díky šifrování v bezpečí. Ale i tak získali hromadu citlivých informací. Více než polovina všech uživatelů měla veřejně dostupnou profilovou fotku. V náhodném vzorku půl milionu obrázků rozpoznal software lidskou tvář ve dvou třetinách případů. Některé fotky navíc obsahovaly poznávací značky aut, dopravní značky nebo významné budovy.
Třicet procent lidí má v profilu vyplněný text. Někteří tam uvádějí politické názory, sexuální orientaci, náboženské vyznání nebo dokonce přiznání k užívání drog. Našli se tam i dealeři, kteří si v profilu přímo propagovali svůj sortiment. Další uživatelé zveřejnili odkazy na sociální sítě nebo emailové adresy – včetně vládních domén jako state.gov nebo vojenských adres.
Mohlo by vás zajímat
Nebezpečí v autoritářských státech
WhatsApp je oficiálně zakázaný v Číně, Íránu, Myanmaru a Severní Koreji. Přesto výzkumníci našli 2,3 milionu aktivních účtů v Číně, 60 milionů v Íránu a 1,6 milionu v Myanmaru.
Pro obyvatele těchto zemí může být používání WhatsAppu životu nebezpečné. V Číně byli podle některých zpráv muslimové zadrženi jen kvůli tomu, že měli aplikaci nainstalovanou. Když lze snadno prověřit všechna telefonní čísla, je pro místní režimy snadné odhalit a pronásledovat uživatele zakázané aplikace.
Mohlo by vás zajímat
Základní problém
Výzkumníci upozorňují na zásadnější otázku: telefonní čísla vlastně nebyla nikdy navržena jako tajné identifikátory. Nemají dostatečnou náhodnost, aby mohla sloužit jako bezpečný identifikátor pro službu s miliardami uživatelů.
WhatsApp sice začal testovat funkci přezdívek, ale zatím zůstává závislý na telefonních číslech. A jediná ochrana proti hromadnému získávání dat je omezení rychlosti požadavků - což nikdy nebude stoprocentně účinné, pokud chce WhatsApp zůstat uživatelsky přívětivý pro běžné uživatele.
Co na to říká Meta
Společnost Meta výzkumníkům poděkovala a označila exponovaná data za "základní veřejně dostupné informace". Podle viceprezidenta WhatsAppu firma nenašla žádné důkazy o tom, že by tuto zranitelnost zneužívali útočníci.
Výzkumníci to ale zpochybňují - při sběru dat nenarazili na žádné překážky ani obranné mechanismy. Zprávy uživatelů zůstávají díky šifrování v bezpečí, problém je ale v tom, co všechno WhatsApp považuje za "veřejné" informace a jak snadno se k nim dalo dostat.
Zdroj: Schmidtis blog, GitHub, Gsmarena, Heise, Wired
video
