یک نقص امنیتی ساده در واتساپ موجب فاش شدن ۳.۵ میلیارد شماره تلفن شد

27 آبان 1404 ساعت 21:28

استقبال گسترده از واتساپ تا حدی به این دلیل است که پیدا کردن یک مخاطب جدید در این پلتفرم پیام‌رسانی کار آسان محسوب می‌شود. برای این کار تنها باید شماره تلفن کسی را اضافه کنید و واتساپ فورا نشان می‌دهد آیا او در این سرویس عضو است یا خیر. معمولا پروفایل و نام او نیز در این برنامه قابل مشاهده خواهد بود. اگر همین ترفند را چند میلیارد بار با شماره‌های مختلف تکرار کنید، همین ویژگی می‌تواند به عنوان راهی مناسب برای به‌دست آوردن شماره تلفن تقریبا تمام کاربران واتساپ عمل کند. همچنین عکس‌های پروفایل و متن‌هایی که در بسیاری از موارد هویت کاربران را مشخص می‌کند، قابل رویت خواهد بود.

بدین ترتیب، اطلاعات شخصی تعداد قابل توجهی از کاربران واتساپ از این طریق می‌تواند به‌طور گسترده فاش شود. گروهی از محققان اتریشی اکنون موفق شده‌اند با استفاده از روش اشاره شده در بخش یافتن مخاطبین واتساپ، به شماره تلفن ۳.۵ میلیارد کاربر این سرویس دسترسی پیدا کنند. آن‌ها همچنین متوجه شدند که عکس‌های پروفایل حدود ۵۷ درصد از این کاربران قابل مشاهده است و ۲۹ درصد دیگر نیز می‌توان متن پروفایل‌‌شان را خواند. محققان می‌گویند با وجود هشدار پیشین درباره افشای این داده‌ها توسط واتساپ از سوی یک محقق دیگر در سال ۲۰۱۷، شرکت مادر این سرویس یعنی متا هنوز نتوانسته است سرعت یا تعداد درخواست‌های یافتن مخاطبین را که محققان می‌توانند در زمان کار با نسخه وب واتساپ استفاده کنند، محدود کند.

این امر به آن‌ها اجازه می‌دهد تا بتوانند تقریبا صد میلیون شماره در ساعت را بررسی کنند. محققان در مقاله‌ای که یافته‌های خود را در آن مستند کرده بودند، توضیح دادند که اگر این مشکل مورد بررسی تحقیقاتی قرار نگیرد، منجر به وقوع بزرگ‌ترین افشای داده در تاریخ خواهد شد. آلجوشا جودمایر (Aljosha Judmayer)، یکی از محققان دانشگاه وین که روی این تحقیق کار کرده، می‌گوید: “تا آنجا که ما می‌دانیم، این گسترده‌ترین افشای شماره‌های تلفن و داده‌های مرتبط با کاربران محسوب می‌شود که تاکنون ثبت شده است.” محققان اظهار داشته‌اند که در ماه آوریل درباره یافته‌های خود به متا هشدار داده و نسخه کپی خود از ۳.۵ میلیارد شماره را حذف کرده‌اند. تا ماه اکتبر، این شرکت با وضع محدودیت سخت‌گیرانه‌تر که مانع استفاده از روش پیدا کردن مخاطبان در مقیاس انبوه می‌شود، مشکل اشاره شده را برطرف کرده بود.

با این حال، تا آن زمان افشای داده‌ها می‌توانست توسط هر شخص دیگری با استفاده از همان تکنیک رخ دهد. مکس گونتر (Max Günther)، یکی دیگر از محققان دانشگاه وین که در نوشتن این تحقیق همکاری داشته است، می‌گوید: “اگر این شماره‌ها می‌توانستند به راحتی توسط ما بازیابی شوند، دیگران نیز قادر بودند همین کار را انجام دهند.” متا در بیانیه‌ای به وب‌سایت WIRED از محققانی که کشف خود را از طریق سیستم باگ بانتی این شرکت گزارش دادند، تشکر کرد و داده‌های لو را اطلاعات عمومی پایه توصیه نمود، زیرا عکس‌ها و متن پروفایل برای کاربرانی که دسترسی دیگران به آن‌ها را محدود کرده‌اند، فاش نشده‌اند. نیتن گوپتا (Nitin Gupta) معاون مهندسی واتساپ نوشته است: “ما قبلا روی سیستم‌های آنتی اسکرپینگ (تحلیل و شناسایی اطلاعات) کار می‌کردیم و این تحقیق در تست امنیت و تاثیر اثربخشی فوری این روش‌ها برای مقابله با وضعیت به‌وجود آمده نقش مهمی داشت.”

گوپتا در ادامه افزود: “ما هیچ مدرکی مبنی‌بر سوء‌استفاده افراد خرابکار پیدا نکرده‌ایم. پیام‌های کاربران به لطف رمزگذاری پیش‌فرض سرتاسری واتساپ، خصوصی و ایمن باقی ماندند و هیچ داده غیر عمومی برای محققان قابل دسترسی نبود.” با وجود توضیحات متا، محققان می‌گویند که در جمع‌آوری شماره‌های تلفن هیچ راه محافظتی را دور نزده‌اند یا حتی با آن مواجه نشده‌اند. همچنین این اولین باری نیست که آن‌ها به واتساپ درباره افشای شماره‌های تلفن و داده‌های پروفایل هشدار داده‌اند. هشت سال پیش، در سال ۲۰۱۷، لوران کلوئز (Loran Kloeze)، محقق هلندی در یک پست وبلاگی نوشت و اشاره کرد که تکنیک فهرست‌برداری از شماره‌های تلفن امکان‌پذیر است و می‌توان از آن برای دستیابی به شماره‌ها، عکس‌های پروفایل و همچنین زمان آنلاین بودن کاربر استفاده کرد. کلوئز سناریویی را توصیف کرد که در آن افشای داده‌ها می‌تواند با تشخیص چهره ترکیب شود تا پایگاه داده بزرگی از اطلاعات شخصی قابل شناسایی ایجاد گردد.

او نوشت: “این موضوع بسیار ترسناک است، این‌طور نیست؟” متا که در آن زمان فیس‌بوک نام داشت، به یافته‌های او پاسخ داد و استدلال کرد که تنظیمات حریم خصوصی واتساپ هنوز به همان شکلی طراحی شده بود کار می‌کند. کاربران می‌توانند انتخاب کنند که اطلاعات پروفایل خود را تنها برای مخاطبین انتخابی خود قابل دسترسی کنند. این شرکت حتی به کلوئز گفت که در آن زمان واجد شرایط دریافت جایزه برای شناسایی باگ نیست. هنگامی که وب‌سایت WIRED از متا پرسید که در هشت سال گذشته چه اقدامات محدودکننده‌ای برای جلوگیری از تکنیکی که کلوئز از آن استفاده کرد، انجام داده است، این شرکت پاسخ داد که در حال ایجاد راه‌های محافظتی در برابر اسکریپرها، از جمله تکنیک‌های محدودکننده سرعت و یادگیری ماشینی است. با این وجود، محققان دانشگاه وین نه تنها توانستند کار کلوئز را تکرار کنند، بلکه موفق شدند تمام ۳.۵ میلیون شماره ثبت شده در واتساپ را فهرست کردند، بسیار بیشتر از آنچه که این سرویس در سال ۲۰۱۷ داشت.

آن‌ها همچنین با شمارش تعداد کاربرانی که اطلاعات شخصی خود را در پروفایل‌هایشان به‌صورت عمومی در معرض نمایش قرار می‌دهند، به گفته‌های واتساپ درباره تنظیمات حریم خصوصی اشاره کردند و نتایج را براساس کشورشان آنالیز نمودند. محققان متوجه شدند که ۴۴ درصد از ۱۳۷ میلیون شماره تلفنی که مخصوص آمریکایی‌ها بودند، عکس‌شان قابل مشاهده بود و متن بیوگرافی ۳۳ درصدشان را می‌شد خواند. در کشورهایی که واتساپ بیشتر مورد استفاده قرار می‌گیرد، بخش کوچک‌تری از جمعیت تنظیمات حریم خصوصی آن را فعال کرده‌اند. برای مثال، پژوهشگران نزدیک به ۷۵۰ میلیون شماره‌تلفن کاربران هندی را فهرست کردند که عکس پروفایل ۶۲ درصد از آن‌ها به راحتی قابل مشاهده بود. همچنین در ۲۰۶ میلیون شماره تلفن برزیلی که آن‌ها پیدا کردند، ۶۱ درصدشان عکس پروفایلشان در معرض دید بود.

محققان دانشگاه وین سال گذشته، زمانی که در حال بررسی این بودند که با وجود رمزگذاری سرتاسری پیام‌ها، چه اطلاعاتی را می‌توان از این سرویس درباره کاربران به‌دست آورد، مانند مواقعی که کاربر از نسخه دسکتاپ یا موبایل استفاده می‌کند، به‌طور اتفاقی با مشکل شمارش شماره تلفن‌های واتساپ روبرو شدند. آن‌ها متوجه شدند که این برنامه ظاهرا هیچ‌گونه محدودیت نرخ درخواستی اعمال نکرده است، بنابراین به سادگی تلاش کردند تا تمام شماره‌های آمریکا را در یک فهرست قرار دهند. گابریل گگنهوبر، یکی از محققان دانشگاه وین می‌گوید: “در عرض نیم ساعت، به حدود ۳۰ میلیون شماره آمریکایی دسترسی پیدا کردیم. بنابراین ما کمی شگفت‌زده شدیم و به کارمان ادامه دادیم.” محققان خاطرنشان کرده‌اند که کلاهبرداران و اسپمرها دو نمونه از علاقه‌مندان به داده شماره‌های فاش شده هستند که به دنبال دیتابیسی از اهداف بالقوه می‌گردند. محققان همچنین میلیون‌ها شماره تلفن ثبت شده در واتساپ را در کشورهایی که رسما ممنوع است، مانند ۲.۳ میلیون در چین و ۱.۶ میلیون در میانمار پیدا کردند.

به گفته محققان، دولت‌های این کشورها می‌توانستند از افشای اطلاعات واتساپ برای جمع‌آوری این شماره‌ها و یافتن کاربران مجرم استفاده کنند. براساس برخی گزارشات، مسلمانان در چین صرفا به دلیل نصب واتساپ روی تلفن‌های خود بازداشت شده‌اند. پژوهشگران دانشگاه وین همچنین کلیدهای رمزنگاری مربوط به ۳.۵ میلیارد حسابی را که از طریق روش شمارش، رشته‌های طولانی کاراکترهای مورد استفاده برای دریافت پیام‌های رمزنگاری شده در پروتکل رمزگذاری سرتاسری واتساپ، در معرض خطر قرار گرفته بودند، آنالیز کردند. آن‌ها متوجه شدند که تعداد قابل توجهی از حساب‌ها از کلیدهای امنیتی تکراری استفاده می‌کنند. هر کسی که همان کلید را کاربر دیگری داشته باشد، می‌تواند پیام‌های ارسال‌شده به او را رمزگشایی کند. محققان دریافتند که برخی از کلیدها صدها بار دوباره استفاده شده‌اند و جالب اینکه ۲۰ شماره تلفن آمریکا از کلیدی متشکل از صفرها برخوردار بوده‌اند.

با این حال، آن‌ها حدس می‌زنند که تکرار کلید احتمالا نتیجه استفاده از کلاینت‌های غیرمجاز واتساپ است، نه نقصی در خود این پیام‌رسان. با بررسی دقیق‌تر برخی از حساب‌های دارای کلیدهای رمزنگاری تکراری، پژوهشگران همچنین متوجه شدند که آن‌ها شبیه به حساب‌های کلاهبردار هستند، این موضوع نشان می‌دهد برخی از عملیات‌های کلاهبرداری که از واتساپ سوء‌استفاده می‌کنند، ممکن است از کلاینتی با ویزگی‌های رمزگذاری ناقص استفاده کنند. گذشته از عدم وجود محدودیت سرعت، دانشمندان دانشگاه وین معتقدند که یافته‌هایشان نشان‌دهنده یک مشکل اساسی‌تر در مورد سرویس‌هایی مانند واتساپ اشاره دارد. به گفته آن‌ها، شماره‌های تلفن تنوع کافی برای استفاده به عنوان شناسه‌ای منحصربه‌فرد برای خدماتی با میلیاردها کاربر ندارند. این امر موجب می‌شود که محدودیت سرعت تنها اقدام موجود برای جلوگیری از سرقت گسترده داده‌های کاربران باشد.

این محدودیت هرگز نمی‌تواند به‌طور کامل از افشای کامل اطلاعات جلوگیری کند، به ویژه اگر واتساپ اولویت را بر راحتی در یافتن مخاطبان قرار دهد. در حقیقت، واتساپ شروع به آزمایش یک ویژگی مربوط به نام کاربری در نسخه بتا کرده است که شاید رویکرد بهتری برای حفظ خریم خصوصی کاربران داشته باشد. جودمایر می‌گوید: “شماره‌های تلفن به گونه‌ای طراحی نشده‌اند که به عنوان شناسه مخفی برای حساب‌ها مورد استفاده قرار گیرند، اما در عمل می‌دانیم که اینگونه استفاده می‌شوند. اگر سرویس بزرگی دارید که بیش از یک سوم جهان از آن استفاده می‌کنند و دارای این مکانیزم برای یافتن مخاطبان است، مشکل بزرگی خواهد داشت.”