חולשה משמעותית בפרטיות התגלתה באפליקציית וואטסאפ, כך עולה ממחקר שפורסם השבוע על ידי חוקרים מאוניברסיטת וינה ומהמכון SBA Research. הפרצה אפשרה לחוקרים לזהות 3.5 מיליארד חשבונות פעילים ב-245 מדינות ולאסוף מידע עליהם - כל זאת תוך ניצול פיצ'ר בסיסי באפליקציה שמיועד לעזור למשתמשים למצוא חברים.
מטא, החברה האם של וואטסאפ, כבר תיקנה את הבעיה בשיתוף פעולה עם החוקרים, אך הממצאים מעלים שאלות קשות על הסיכונים לפרטיות כאשר מיליארדי משתמשים ברחבי העולם מרוכזים באפליקציית מסרים אחת.
איך זה קרה?
וואטסאפ מאפשרת למשתמשים למצוא אנשי קשר באופן אוטומטי: האפליקציה סורקת את ספר הטלפונים במכשיר ובודקת אילו מספרים רשומים לשירות. זה נוח, אבל החוקרים גילו שאפשר לנצל את אותו מנגנון בדיוק כדי לבדוק מספרי טלפון בכמויות עצומות.
"בדרך כלל, מערכת לא אמורה להגיב למספר כה גבוה של בקשות בזמן כה קצר - במיוחד כשהן מגיעות ממקור אחד", מסביר גבריאל גגנהובר, החוקר הראשי מאוניברסיטת וינה. "אבל וואטסאפ כן הגיבה, וזה אפשר לנו לבדוק למעשה מספר בלתי מוגבל של מספרי טלפון ולמפות משתמשים ברחבי העולם".
החוקרים הצליחו לבדוק מעל 100 מיליון מספרי טלפון בשעה, ובסך הכל אישרו את קיומם של 3.5 מיליארד חשבונות פעילים.
איזה מידע נחשף?
החוקרים הדגישו שהם לא ראו את תוכן ההודעות - ההצפנה מקצה לקצה של וואטסאפ נשארה שלמה. אבל המידע שכן נחשף כלל:
- מספרי טלפון
- מפתחות הצפנה ציבוריים (הקודים שמשמשים להצפנת ההודעות)
- חותמות זמן (מתי החשבון נוצר או עודכן)
- תמונות פרופיל וטקסט "אודות" (למשתמשים שהגדירו אותם כציבוריים)
מהמידע הזה, החוקרים הצליחו גם להסיק: איזו מערכת הפעלה משתמש מריץ (אנדרואיד או iOS), כמה זמן החשבון פעיל, וכמה מכשירים נוספים מחוברים אליו.
"הצפנה מקצה לקצה מגינה על תוכן ההודעות, אבל לא בהכרח על המטא-דאטה שמסביב", אומר אלג'ושה יודמאייר, חוקר בכיר במחקר. "העבודה שלנו מראה שסיכוני פרטיות יכולים להיווצר גם כשאוספים ומנתחים מטא-דאטה בהיקפים כאלה".
ממצאים מפתיעים: מיליוני משתמשים במדינות שאסרו את האפליקציה
המחקר חשף גם כמה ממצאים מעניינים על דפוסי השימוש בוואטסאפ ברחבי העולם. בין היתר: זוהו מיליוני חשבונות פעילים במדינות שבהן האפליקציה אסורה באופן רשמי, כמו סין, איראן ומיאנמר.
התפלגות מערכות ההפעלה הגלובלית: 81 אחוז אנדרואיד לעומת 19 אחוז iOS. במקביל, החוקרים זיהו הבדלים משמעותיים בין אזורים בהעדפות הפרטיות - למשל, שיעורים שונים של משתמשים שמגדירים את תמונת הפרופיל או תיאור "אודות" שלהם כציבוריים.
ממצא מדאיג נוסף: במספר קטן של מקרים, החוקרים זיהו שימוש חוזר באותם מפתחות הצפנה במכשירים שונים או במספרי טלפון שונים. בדרך כלל, כל חשבון וואטסאפ אמור לקבל מפתחות הצפנה ייחודיים משלו - זה חלק בסיסי ממערכת האבטחה. כשאותם מפתחות מופיעים יותר מפעם אחת, זה יכול להעיד על שימוש באפליקציות וואטסאפ "מזויפות" (לא רשמיות) או על פעילות מרמה.
החוקרים זיהו גם סיכון למספרים שנחשפו בעבר ועלולים להיות מטרה להונאות. בשנת 2018, מישהו ביצע גרידת מידע מפייסבוק - כלומר, אסף באופן אוטומטי מידע על משתמשים מהרשת החברתית. המידע הזה, שכלל 500 מיליון מספרי טלפון, דלף לציבור ב-2021. החוקרים בדקו ומצאו שכמעט מחצית מהמספרים שנחשפו בדליפה ההיא עדיין פעילים בוואטסאפ היום.
ניטין גופטה, סגן נשיא ההנדסה בוואטסאפ, מסר כי החוקרים מחקו את כל המידע שאספו, ושלמטא אין ראיות לכך שגורמים עוינים ניצלו את הפרצה. "ההודעות של המשתמשים נשארו פרטיות ומאובטחות הודות להצפנה מקצה לקצה, ושום מידע שאינו ציבורי לא היה נגיש לחוקרים", הוא הוסיף.
עוד נמסא ממטא, כי החוקרים לא פרצו לחשבונות כלשהם ולא ניגשו למידע לא-ציבורי. כמו כן, לא אירעה דלף של מידע אישי. החוקרים יצרו צירופי מספרים אפשריים ובדקו אילו מהם רשומים בוואטסאפ. לאחר מכן הם הצליחו לראות מידע שמשתמשים בחרו להפוך לציבורי.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו