Pesquisadores doUniversidade de Viena descobriram uma falha que lhes permite sugar 3,5 bilhões de números de telefone gravado no WhatsApp.
Ao explorar as APIs de descoberta de contatos, função que permite encontrar seus amigos pelo número, eles puderam consultar mais de 100 milhões de contas por hora. A Meta corrigiu a vulnerabilidade e agradeceu aos pesquisadores como parte de seu programa de recompensas por bugs. Mas este ataque mostra um problema estrutural: o seu número do WhatsApp nunca é verdadeiramente privado.
A falha é baseada em um mecanismo bem conhecido. Para facilitar a busca por contatos, o WhatsApp oferece API de descoberta que associam números de telefone e contas de usuário. Você insere um número, a API informa se existe uma conta do WhatsApp e pode exibir a foto do perfil ou o texto “Sobre” se o usuário os tiver tornado visíveis. Este sistema é essencial para o funcionamento do aplicativo, mas também abre a porta paraenumeração massiva : teste milhões de números para mapear a base de usuários.
Existem proteções para prevenir este tipo de ataque, limitando o número de solicitações, detectando comportamentos suspeitos, etc.
Mas os investigadores austríacos contornaram-nos. Eles foram capazes de digitalizar mais de 100 milhões de números por hora via infraestrutura do WhatsApp, confirmando a existência de 3,5 bilhões de contas ativas distribuído em 245 países. Toda a base global de usuários.
O que este mapeamento massivo mostra
Os pesquisadores não coletaram apenas números. Eles analisaram os dados para extrair informação estatística. Eles criaram uma fotografia única do uso global do WhatsApp.
Primeira descoberta: o WhatsApp tem milhões de usuários ativos em países onde a aplicação é oficialmente proibida. China, Irã, Mianmarmuitas regiões onde os usuários usam VPNs para contornar a censura. A divisão por sistema operacional confirma o domínio do Android: 81% dos usuários estão no sistema do Google, contra 19% no iOS.
A análise das fotos do perfil mostra diferenças culturais marcado. Alguns países exibem massivamente fotos pessoais, outros favorecem o anonimato ou imagens genéricas. Os pesquisadores também compararam seu banco de dados com 500 milhões de números que vazou por volta de 2021 metade ainda estão em uso quatro anos depois.
Finalmente, a análise dos metadados da conta (antiguidade, número de dispositivos conectados) permite rastrear perfis de uso : usuários ocasionais, contas profissionais com vários dispositivos, contas abandonadas e reativadas. Informações valiosas para quem deseja atingir usuários específicos.
Meta correções, mas o problema subjacente permanece
meta agradeceu aos pesquisadores como parte de seu programa de recompensas por bugs e garantiu que corrigiu a vulnerabilidade. A empresa especifica que já estava trabalhando em sistemas anti-raspagem mais robustos e que esta investigação permitiu testar a sua eficácia. Os pesquisadores apagaram os dados coletados e Meta afirma não ter observado sem uso malicioso da culpa.
“ As mensagens dos usuários permaneceram privadas e seguras graças a criptografia ponta a ponta por padrão do WhatsApp, e nenhum dado não público estava acessível aos pesquisadores », Especifica a empresa. É isso mesmo: as conversas em si não foram comprometidas. Mas o acesso a números de telefone, fotos de perfil e metadados de contas continua sendo um problema. questão de confidencialidade.
A raiz do problema? Essa falha não é novidade. É um vulnerabilidade estrutural ligado ao próprio funcionamento do WhatsApp. Para permitir a descoberta de contatos, o aplicativo deve ser capaz de associar números e contas. E assim que uma API permitir essa associação, ela poderá ser explorada em larga escala. As proteções existem, mas são sempre ignorável com determinação e recursos suficientes.
Meta pode fortalecer suas defesas. Mas enquanto o WhatsApp depender de números de telefone como identificador principal, esse tipo de ataque permanecerá teoricamente possível. Outros serviços de mensagens como Sinal Ou Telegrama enfrentar o mesmo dilema. A solução? Mudar para identificadores anônimos desconectado do número de telefone. Mas isso tornaria a descoberta de contatos muito mais difícil – uma das razões do sucesso do WhatsApp.