Κενό απορρήτου στο WhatsApp – 3,5 δισ. χρήστες εκτεθειμένοι
- Ερευνητές πρόσβαλαν μέσω κενού στο WhatsApp δεδομένα 3,5 δισ. ενεργών λογαριασμών.
- Το κενό εντοπίστηκε στον μηχανισμό ανακάλυψης επαφών, επιτρέποντας έως 100 εκατ. αναζητήσεις/ώρα.
- Η Meta έχει ήδη εφαρμόσει αντίμετρα, ενώ δεν υπήρξε πρόσβαση σε περιεχόμενο μηνυμάτων.
Μαζικό κενό απορρήτου στην πλατφόρμα WhatsApp αποκάλυψαν ερευνητές του Πανεπιστημίου της Βιέννης και του SBA Research, φέρνοντας στο προσκήνιο την ευαλωτότητα ακόμη και των πλέον διαδεδομένων εργαλείων επικοινωνίας. Η ομάδα ασφάλειας κατάφερε να αξιοποιήσει αδυναμία στον μηχανισμό ανακάλυψης επαφών της εφαρμογής και να αντλήσει στοιχεία για 3,5 δισ. ενεργούς λογαριασμούς, καλύπτοντας 245 χώρες.
Το κενό επέτρεπε την αποστολή τεράστιου όγκου αιτημάτων ταυτοποίησης αριθμών τηλεφώνου — έως 100 εκατομμύρια αναζητήσεις ανά ώρα. «Ένα σύστημα δεν θα έπρεπε να αποκρίνεται σε τόσο μεγάλο όγκο από μία μόνο πηγή», ανέφερε ο επικεφαλής της έρευνας, Γκάμπριελ Γκεγκενχούμπερ. Η συμπεριφορά αυτή αποκάλυψε το αδύναμο σημείο, δίνοντας στους ερευνητές τη δυνατότητα να χαρτογραφήσουν λογαριασμούς παγκοσμίως.
Τα δεδομένα που ήταν προσβάσιμα περιορίζονταν σε στοιχεία που είναι δημόσια για όποιον γνωρίζει τον αριθμό τηλεφώνου: αριθμούς, δημόσια κλειδιά, χρονικές σημάνσεις και —όπου είχε επιλεγεί— φωτογραφία και κείμενο προφίλ. Ωστόσο, ακόμη και αυτή η περιορισμένη πληροφορία αποδείχθηκε αρκετή για να εξαχθούν συμπεράσματα για το λειτουργικό σύστημα ενός χρήστη, την ηλικία του λογαριασμού ή τον αριθμό συσκευών που έχουν συνδεθεί.
Ενδεικτικό της κλίμακας του προβλήματος είναι ότι εντοπίστηκαν εκατομμύρια ενεργοί λογαριασμοί σε χώρες όπου το WhatsApp έχει απαγορευθεί, όπως Κίνα, Ιράν και Μιανμάρ. Παράλληλα, χαρτογραφήθηκε η αναλογία συσκευών Android–iOS, με το Android να καταλαμβάνει το 81%.
Οι ερευνητές διευκρινίζουν ότι δεν υπήρξε πρόσβαση σε κανένα περιεχόμενο μηνυμάτων και ότι όλα τα δεδομένα διαγράφηκαν. «Η κρυπτογράφηση από άκρο σε άκρο προστατεύει το περιεχόμενο των μηνυμάτων – όχι όμως τα μεταδεδομένα», τόνισε ο Αλιόσα Γιουντμάιερ, εξηγώντας πώς η μαζική συλλογή μπορεί να δημιουργήσει κινδύνους ιδιωτικότητας.
Από την πλευρά της Meta, ο επικεφαλής μηχανικής του WhatsApp, Νίτιν Γκούπτα, επεσήμανε πως η εταιρεία είχε ήδη κινηθεί για να αποτρέψει τέτοιου τύπου συλλογές δεδομένων και ότι τα ευρήματα των ερευνητών ενσωματώθηκαν άμεσα σε διορθωτικές ενέργειες.
Η έρευνα θα παρουσιαστεί επίσημα στο NDSS 2026, αναδεικνύοντας ότι τα ζητήματα ασφάλειας δεν είναι ποτέ οριστικά λυμένα. «Η ασφάλεια και το απόρρητο απαιτούν συνεχή επαναξιολόγηση καθώς η τεχνολογία εξελίσσεται», δήλωσε ο Γκεγκενχούμπερ — μια προειδοποίηση που ξεπερνά το WhatsApp και αφορά ολόκληρο το οικοσύστημα ψηφιακών επικοινωνιών.
