Ένα τεράστιο ελάττωμα ασφαλείας του WhatsApp εξέθεσε τον αριθμό τηλεφώνου σχεδόν κάθε χρήστη στον πλανήτη – παρά το γεγονός ότι η μητρική εταιρεία Meta είχε ειδοποιηθεί για την ευπάθεια το 2017.
Οι ερευνητές ασφαλείας μπόρεσαν να χρησιμοποιήσουν αυτό που περιέγραψαν ως «απλή» εκμετάλλευση για να εξαγάγουν συνολικά 3,5 δισεκατομμύρια αριθμούς τηλεφώνου από την υπηρεσία ανταλλαγής μηνυμάτων…
Οι ερευνητές λένε ότι αν το ίδιο κατόρθωμα είχε χρησιμοποιηθεί από κακούς ηθοποιούς, το αποτέλεσμα θα ήταν «η μεγαλύτερη διαρροή δεδομένων στην ιστορία».
Η πιο κατάφωρη πτυχή της αποτυχίας απορρήτου είναι ότι ένας διαφορετικός ερευνητής ασφάλειας ειδοποίησε τη Meta για το πρόβλημα περισσότερο από πριν από οκτώ χρόνιακαι σε όλο αυτό το διάστημα η εταιρεία απέτυχε να εφαρμόσει το απίστευτα απλό μέτρο προστασίας που χρειαζόταν για να το διορθώσει.
Ενσύρματο εκθέσεις.
Η μαζική υιοθέτηση του WhatsApp οφείλεται εν μέρει στο πόσο εύκολο είναι να βρείτε μια νέα επαφή στην πλατφόρμα ανταλλαγής μηνυμάτων: Προσθέστε τον αριθμό τηλεφώνου κάποιου και το WhatsApp δείχνει αμέσως αν είναι στην υπηρεσία, καθώς και συχνά τη φωτογραφία του προφίλ και το όνομά του.
Επαναλάβετε το ίδιο τέχνασμα μερικά δισεκατομμύρια φορές με κάθε πιθανό αριθμό τηλεφώνου, και η ίδια λειτουργία μπορεί επίσης να χρησιμεύσει ως ένας βολικός τρόπος για να αποκτήσετε τον αριθμό κινητού σχεδόν κάθε χρήστη του WhatsApp στη γη — μαζί με, σε πολλές περιπτώσεις, φωτογραφίες προφίλ και κείμενο που προσδιορίζει τον καθένα από αυτούς τους χρήστες.
Ένας ερευνητής ασφαλείας το 2017 διαπίστωσε ότι η εταιρεία δεν παρέχει κανένα όριο στον αριθμό των ελέγχων αριθμού τηλεφώνου που μπορείτε να πραγματοποιήσετε, επιτρέποντας αυτού του είδους την επίθεση. Απίστευτα, οκτώ χρόνια αργότερα, μια ομάδα Αυστριακών ερευνητών από το Πανεπιστήμιο της Βιέννης μπόρεσε να εκμεταλλευτεί το ίδιο ακριβώς ελάττωμα για να λάβει τον αριθμό τηλεφώνου σχεδόν κάθε χρήστη του WhatsApp.
Τους πήρε μόλις μισή ώρα για να καταγράψουν τους πρώτους 30 εκατομμύρια αριθμούς τηλεφώνου των ΗΠΑ και μετά από αυτό συνέχισαν.
«Από όσο γνωρίζουμε, αυτό σηματοδοτεί την πιο εκτεταμένη έκθεση αριθμών τηλεφώνου και σχετικών δεδομένων χρηστών που έχουν τεκμηριωθεί ποτέ», λέει ο Aljosha Judmayer, ένας από τους ερευνητές στο Πανεπιστήμιο της Βιέννης που εργάστηκε στη μελέτη.
Οι ερευνητές, φυσικά, ενήργησαν υπεύθυνα διαγράφοντας τη βάση δεδομένων των αριθμών τηλεφώνου και ειδοποιώντας τη Meta. Η εταιρεία χρειάστηκε περίπου άλλους έξι μήνες για να εφαρμόσει ένα μέτρο περιορισμού των επιτοκίων για να αποτρέψει την εκμετάλλευση του χαρακτηριστικού σε αυτό το είδος μαζικής κλίμακας.
Η WhatsApp ισχυρίζεται ότι εργαζόταν ήδη σε αυτό και λέει ότι δεν βρήκε στοιχεία για κακόβουλους παράγοντες που εκμεταλλεύονται το ελάττωμα.
Τονισμένα αξεσουάρ
Φωτογραφία από camilo jimenez επί Ξεβιδώστε
FTC: Χρησιμοποιούμε συνδέσμους θυγατρικών που κερδίζουν αυτόματα εισόδημα. Περισσότερο.
Via: 9to5mac.com
