作为一款在全球180多个国家拥有约30亿用户的即时通讯巨头,WhatsApp的安全性一直备受关注。然而,一项研究揭示其API存在的一个漏洞,曾被用于识别出高达35亿个已注册账户的数据。研究人员指出,漏洞关键在于API的响应机制:它并未区分活跃、废弃或已回收的账户,而是返回了所有与查询号码关联的账户信息。
WhatsApp的常规机制是,当用户需要向他人发送消息时,需通过其API验证目标电话号码是否注册了服务。该API会返回基本的公开资料。但为防止滥用,此类查询本应有严格的速率限制。
维也纳大学与SBA Research安全实验室的研究人员发现,这些预设的速率限制在实际中极易被绕过。他们生成了来自245个国家/地区、符合有效格式的数十亿个电话号码,并向WhatsApp服务器发起查询。结果表明,联系人发现API的响应极快,使得他们能够以每小时超过1亿个号码的速度进行查询,最终确认了超过35亿个账户的存在。
值得注意的是,研究团队使用单一IP地址以每秒约7000次的频率发送HTTP请求。如此高流量的异常访问理应触发警报,但WhatsApp既未封禁该IP,也未对测试账户采取有效措施。这凸显了在复杂网络环境中进行持续安全/渗透测试的重要性(网络安全与渗透测试)。
泄露的数据远超电话号码
通过结合其他公开的WhatsApp端点,研究人员能够收集到的信息远不止活跃号码,还包括:
- 公开的个人资料照片:抽样显示,约三分之二的美国地区用户公开了头像,结合现代AI工具,可能引发严重的隐私问题。
- “关于”个人资料文本:该字段默认内容为“嗨!我正在使用WhatsApp”,但用户常会自行修改。研究发现其中包含政治观点、性取向、宗教信仰(属GDPR定义的高度敏感信息),甚至包括OnlyFans链接或军方等敏感机构的工作邮箱。
- 账户关联的元数据。
长期影响与“数据狂欢”
这种数据泄露的影响是长期且深远的。研究团队发现,在2021年Facebook联系人导入功能泄露的5.33亿个电话号码中,有58%在今年仍是活跃的WhatsApp账户。与频繁更改的密码不同,电话号码很少变更,这使得被爬取的数据集对攻击者具有长期价值。
此外,分析数据还揭示了在官方禁止WhatsApp的国家/地区存在大量活跃账户,例如禁令解除前的伊朗有近6000万账户,甚至在中国、缅甸和朝鲜也有数量可观的注册记录。
研究人员最后指出,WhatsApp已具备公共基础设施的属性,但其运作缺乏像核心网络/系统协议那样的透明度与可验证性(网络与系统协议),难以接受有效的第三方审查,这为平台安全治理带来了持续挑战。 | 
发表于 昨天 05:07
|
查看: 19|
回复: 0
