1. 安永信息首页
  2. 行业资讯

WhatsApp漏洞导致35亿用户手机绑定数据泄露

行业资讯 6

引言

近年来,随着移动互联网的飞速发展,通讯软件成为了人们日常生活中不可或缺的一部分。然而,随之而来的是数据安全和隐私保护的问题。近日,维也纳大学和SBA Research的一组研究人员发布了一篇研究论文,揭示了WhatsApp中的一项重大漏洞,该漏洞导致了35亿活跃账户的数据被非法收集。这项研究不仅引起了广泛关注,也引发了对Meta(原Facebook)数据保护机制的质疑。

研究背景

隐私保护的挑战

在数字化时代,用户的隐私保护面临着前所未有的挑战。虽然许多通讯软件都有严格的隐私政策,但这些政策往往难以落到实处。WhatsApp作为最受欢迎的通讯软件之一,其用户数据的安全性尤为重要。

研究团队

维也纳大学和SBA Research的研究团队通过对WhatsApp的API进行反向工程,利用whatsmeow库和基于libphonenumber的生成器,开发了一系列抓取技术。这些技术能够以极高的速度识别和收集活跃账户的数据,而无需担心被封禁。

数据收集过程

技术细节

研究人员尝试了大约630亿个可能的号码,最终发现了35亿个“活跃”账户。在数据收集过程中,他们利用了以下技术手段:

  • 反向工程API:通过分析WhatsApp的API,研究人员找到了可以利用的漏洞。
  • whatsmeow库:这是一个用于与WhatsApp服务器通信的开源库。
  • libphonegen生成器:基于libphonenumber开发,能够高效生成可能的电话号码。
  • 扫描速度:研究人员以每个会话每秒7000次请求的速度进行,总计每小时扫描超过1亿号码。

收集到的数据

全球范围

研究人员成功收集了来自245个国家的用户数据,包括关键的元数据信息,如数据更新时间戳和加密密钥。

  • 中国:识别出了230万个活跃号码。
  • 伊朗:识别出了5900万个活跃号码,尽管存在国家封锁。
  • 朝鲜:尽管国家封锁严格,但仍有活跃用户。

俄罗斯的详细情况

用户数量

研究人员在俄罗斯识别出了132,855,022个活跃账户,占WhatsApp全球用户基础的3.84%。俄罗斯在用户数量上排名第五,介于美国和墨西哥之间。

技术偏好

  • 平台分布:76%的俄罗斯用户偏好使用Android平台,iOS用户占24%。
  • 关联设备:每十个俄罗斯账户中约有一个(9.4%)绑定了关联设备(如WhatsApp Web或桌面版),这是全球最高之一。

隐私设置

  • 公开头像:超过61.7%的俄罗斯用户拥有公开头像。
  • 公开信息:33.5%的俄罗斯用户公开了“信息”文本字段。

安全性分析

问题的严重性

Meta方面对首次漏洞报告的忽视,使得研究人员能够长时间地进行数据收集。尽管后来的请求被标记为“不适用”,但漏洞仍然存在。直到首次报告一年后,Meta才开始真正修复漏洞,实施请求限制措施。

全球影响

  • 元数据收集:研究人员几乎收集到了全球所有WhatsApp用户的元数据信息。
  • 潜在威胁:这些数据的收集使得潜在攻击者能够对目标进行详细的画像,进一步威胁用户的安全和隐私。

俄罗斯的特殊性

俄罗斯用户在桌面版应用的使用活跃度异常高于其他地区,这可能与俄罗斯的网络环境和用户习惯有关。值得注意的是,俄罗斯用户在隐私设置上表现出矛盾的开放性,尽管整体上对隐私保护较为重视,但仍有相当一部分用户公开了头像和个人信息。

Meta的反应

初始忽视

Meta忽视了首次漏洞报告,对研究人员的请求未予回应。这种不负责任的态度引发了广泛批评,被认为是导致数据泄露事件的主要原因之一。

修复措施

首次报告一年后,Meta终于开始行动,实施了请求限制措施,有效阻止了数据收集的过程。然而,这一迟来的修复措施已经无法弥补此前的损失。

结论

研究的重要性和意义

该研究被接受在NDSS 2026(网络与分布式系统安全研讨会)上发表,这是一年一度的计算机安全领域“四大”顶级会议之一。研究的审稿质量保证了其可靠性,也进一步强调了隐私保护的重要性。

对我国的影响

政治安全风险

本文的研究结果对我国的政治安全和社会稳定构成了潜在威胁。虽然国内对WhatsApp的使用相对较少,但仍有230万个活跃账户被识别。这表明,即使在国家封锁的条件下,用户数据仍可能被外部势力收集和利用。

安全隐患

  • 反向工程API:黑客可以通过类似的技术手段攻击其他通讯软件,收集用户数据。
  • 公开信息:虽然大部分用户在公开信息方面较为谨慎,但仍有一部分用户公开了头像和个人信息,这可能被用来进行社交工程攻击。

报告链接

https://github.com/sbaresearch/whatsapp-census/blob/main/Hey_there_You_are_using_WhatsApp.pdf

标签

  • 隐私保护
  • 数据安全
  • 通讯软件
  • WhatsApp
  • SBA Research
  • 维也纳大学
  • 元数据
  • 俄罗斯
  • 政治安全
  • 安全隐患

来源:四处探查,原文地址:https://mp.weixin.qq.com/s/igsNTMMeiIhUr0hJNslV-A

上一篇:

相关新闻

联系我们

联系我们

13965147580

在线咨询:点击这里给我发消息

邮件:674290@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信
关注微信
分享本页
返回顶部
电话
邮箱
QQ
地图