Μεγάλης κλίμακας κενό απορρήτου στην πλατφόρμα WhatsApp εντόπισαν ερευνητές του τομέα ασφάλειας στην πληροφορική από το Πανεπιστήμιο της Βιέννης και το κέντρο ερευνών SBA Research, με αποτέλεσμα να επιβεβαιώσουν την ύπαρξη 3,5 δισεκατομμυρίων λογαριασμών μέσω δημόσιων μεταδεδομένων. Σε συνεργασία με τους ερευνητές, η Meta έχει έκτοτε λάβει μέτρα περιορισμού του προβλήματος.
Σύμφωνα με το πανεπιστήμιο, το κενό εντοπίστηκε στον μηχανισμό ανακάλυψης επαφών και η μελέτη «υπογραμμίζει τη σημασία της συνεχούς, ανεξάρτητης έρευνας ασφαλείας σε ευρέως χρησιμοποιούμενες πλατφόρμες επικοινωνίας και επισημαίνει τους κινδύνους που σχετίζονται με τη συγκέντρωση των υπηρεσιών άμεσων μηνυμάτων». Τα αποτελέσματα της έρευνας θα παρουσιαστούν επισήμως στο Συμπόσιο Ασφάλειας Δικτύου και Κατανεμημένων Συστημάτων (NDSS) το 2026.
Ο μηχανισμός ανακάλυψης επαφών του WhatsApp χρησιμοποιεί το βιβλίο διευθύνσεων ενός χρήστη για να εντοπίζει άλλους χρήστες της πλατφόρμας με βάση τον αριθμό τηλεφώνου τους. Αξιοποιώντας τον ίδιο υποκείμενο μηχανισμό, οι ερευνητές απέδειξαν ότι ήταν δυνατό να αναζητηθούν περισσότεροι από 100 εκατομμύρια αριθμοί τηλεφώνου ανά ώρα μέσω της υποδομής του WhatsApp, επιβεβαιώνοντας περισσότερους από 3,5 δισεκατομμύρια ενεργούς λογαριασμούς σε 245 χώρες.
«Κανονικά, ένα σύστημα δεν θα έπρεπε να ανταποκρίνεται σε τόσο μεγάλο αριθμό αιτημάτων σε τόσο σύντομο χρονικό διάστημα — ειδικά όταν προέρχονται από μία μόνο πηγή», εξηγεί ο επικεφαλής της έρευνας Γκάμπριελ Γκεγκενχούμπερ από το Πανεπιστήμιο της Βιέννης. «Αυτή η συμπεριφορά αποκάλυψε το υποκείμενο ελάττωμα, το οποίο μας επέτρεψε να εκδώσουμε ουσιαστικά απεριόριστα αιτήματα στον διακομιστή και με αυτόν τον τρόπο να συσχετίσουμε δεδομένα χρηστών παγκοσμίως», προσθέτει.
Τα προσβάσιμα δεδομένα που χρησιμοποιήθηκαν στη μελέτη ήταν όσα είναι δημόσια για όποιον γνωρίζει τον αριθμό τηλεφώνου ενός χρήστη και αποτελούνταν από αριθμό τηλεφώνου, δημόσια κλειδιά, χρονοσφραγίδες και, εφόσον είχαν οριστεί ως δημόσια, κείμενο και εικόνα προφίλ. Από αυτά τα σημεία δεδομένων οι ερευνητές κατόρθωσαν να εξαγάγουν πρόσθετες πληροφορίες, οι οποίες τους επέτρεψαν να συμπεράνουν το λειτουργικό σύστημα μιας συσκευής, την ηλικία ενός λογαριασμού, καθώς και τον αριθμό των συνδεδεμένων συνοδευτικών συσκευών.
Η μελέτη δείχνει ότι ακόμη και αυτή η περιορισμένη ποσότητα δεδομένων ανά χρήστη μπορεί να αποκαλύψει σημαντικές πληροφορίες, τόσο σε μακροσκοπικό όσο και σε ατομικό επίπεδο.
Στο πλαίσιο της έρευνας προέκυψαν επίσης άλλα ευρήματα, όπως το γεγονός ότι εντοπίστηκαν εκατομμύρια ενεργοί λογαριασμοί WhatsApp σε χώρες όπου η πλατφόρμα έχει απαγορευθεί, όπως στην Κίνα, το Ιράν και τη Μιανμάρ. Επιπλέον, καταγράφηκαν στοιχεία σχετικά με την κατανομή συσκευών Android (81%) έναντι συσκευών iOS (19%).
Οι ερευνητές διευκρινίζουν ότι η μελέτη δεν περιελάμβανε πρόσβαση σε περιεχόμενο μηνυμάτων και ότι δεν δημοσιεύθηκαν προσωπικά δεδομένα, ενώ όλα τα ανακτημένα στοιχεία διαγράφηκαν από τους ίδιους.
Διαβεβαιώνουν μάλιστα ότι το περιεχόμενο των μηνυμάτων του WhatsApp είναι «κρυπτογραφημένο από άκρο σε άκρο» και δεν επηρεάστηκε σε καμία φάση της έρευνας. «Αυτή η κρυπτογράφηση από άκρο σε άκρο προστατεύει το περιεχόμενο των μηνυμάτων, αλλά όχι απαραίτητα τα σχετικά μεταδεδομένα», εξηγεί ο Αλιόσα Γιουντμάιερ από το Πανεπιστήμιο της Βιέννης, τονίζοντας ότι «η εργασία μας δείχνει πως, όταν τέτοια μεταδεδομένα συλλέγονται και αναλύονται σε μεγάλη κλίμακα, ελλοχεύουν κίνδυνοι για την ιδιωτικότητα».
Η έρευνα αναδεικνύει, επίσης, ότι «ακόμη και ώριμα, ευρέως αξιόπιστα συστήματα μπορεί να έχουν αδύναμα σημεία σχεδιασμού ή υλοποίησης που έχουν συνέπειες στον πραγματικό κόσμο. Η ασφάλεια και το απόρρητο πρέπει να επαναξιολογούνται συνεχώς καθώς η τεχνολογία εξελίσσεται», υπογραμμίζει ο κος Γκεγκενχούμπερ.
Από την πλευρά της Meta, ο επικεφαλής των μηχανικών του WhatsApp Νίτιν Γκούπτα εξέφρασε την ευγνωμοσύνη της εταιρείας προς τους ερευνητές του Πανεπιστημίου της Βιέννης, επισημαίνοντας ότι η πλατφόρμα εργαζόταν ήδη κατά της μαζικής συλλογής δεδομένων. Διαβεβαίωσε επίσης ότι οι ερευνητές έχουν διαγράψει με ασφάλεια τα δεδομένα που συλλέχθηκαν στο πλαίσιο της μελέτης και ότι τα μηνύματα των χρηστών παρέμειναν ιδιωτικά και ασφαλή χάρη στην κρυπτογράφηση της υπηρεσίας.
Επισημαίνεται ότι η έρευνα διεξήχθη με αυστηρές ηθικές οδηγίες και τα ευρήματά της κοινοποιήθηκαν άμεσα στο WhatsApp, το οποίο εφάρμοσε αντίμετρα προκειμένου να κλείσει το κενό ασφαλείας που εντοπίστηκε.
Της Φαίης Καραβίτη
Πηγή: ΑΠΕ-ΜΠΕ
