Aplikácia WhatsApp čelí jednej z najvážnejších bezpečnostných káuz vo svojej histórii. Ukázalo sa, že dlhoročná chyba v systéme umožňovala odhaliť telefónne čísla miliárd používateľov. To všetko napriek faktu, že spoločnosť Meta dostala upozornenie na tento problém už v roku 2017. Druhé upozornenie prišlo až o osem rokov neskôr. Napriek alarmujúcej povahe problému bola náprava zavedená až nedávno, informuje web 9to5Mac.
Bezpečnostná slabina sa údajne týkala základného vyhľadávacieho mechanizmu WhatsAppu. Výskumníci objavili spôsob, ako prostredníctvom jednoduchého automatizovaného postupu, tzv. exploitu, extrahovať až 3,5 miliardy telefónnych čísiel. Ide tak o jeden z najrozsiahlejších únikov alebo odhalení používateľských údajov v dejinách mobilných aplikácií.
Únik rekordného počtu telefónnych čísiel
Najdrvivejším odhalením sa stáva však to, že Meta o probléme vedela už dávnejšie. Už v roku 2017 bezpečnostný expert informoval spoločnosť o tom, že WhatsApp neobmedzuje počet pokusov o vyhľadávanie telefónnych čísiel. Meta však vtedajšie varovania ignorovala a neimplementovala žiadne významné bezpečnostné opatrenia. Tým umožnila, aby sa rovnaká slabina opakovane zneužila.
Chyba umožňovala zobraziť meno používateľa a často aj jeho profilovú fotografiu, ak sa nastavila ako verejná. Využiť ju pritom dokázal prakticky ktokoľvek – stačilo zadávať náhodné telefónne čísla do vyhľadávania kontaktov, kde WhatsApp okamžite ukázal, či číslo používateľa existuje, a zároveň poskytol dostupné verejné údaje. Keďže systém neobsahoval žiadny limit na počet takýchto kontrol, útočník mohol vykonávať milióny dopytov bez toho, aby aplikácia spustila akékoľvek bezpečnostné opatrenia.
Práve táto absencia ochrany umožnila masové zneužitie zraniteľnosti. Výskumníci z Viedenskej univerzity ju minulý rok využili na zistenie väčšiny telefónnych čísiel používateľov WhatsAppu na celom svete. Už počas prvých tridsiatich minút získali 30 miliónov čísiel z USA a následne pokračovali v globálnom zbere, čím odhalili skutočný rozsah problému, ktorý Meta ignorovala celé roky.
WhatsApp pod správou spoločnosti Meta
Výskumníci okamžite kontaktovali spoločnosť Meta a databázu, ktorú získali len v rámci testovania, bezpečne vymazali. Spoločnosť však potrebovala približne pol roka, aby zaviedla nové limity, ochranné mechanizmy a systémy proti masovému zbieraniu dát. Dnes sa už podľa spoločnosti Meta nedá tento exploit zneužiť „vo veľkom meradle“, hoci odborná verejnosť upozorňuje, že náprava prišla až po ôsmich rokoch zanedbanej bezpečnosti.
Meta po zverejnení zistení poskytla portálu 9to5Mac oficiálne vyjadrenie. Poďakovala výskumníkom z Viedne za ich zapojenie v rámci programu Bug Bounty, ktorého cieľom je identifikovať slabiny vo veľkých systémoch. Zástupca spoločnosti vysvetlil, že výskumníci objavili novú techniku počítania a scrapingu, ktorá dokázala obísť existujúce limity. Zároveň zdôraznil, že zhromaždené údaje sa vymazali a neexistujú dôkazy, že by exploit zneužili škodlivé osoby.
Meta zároveň pripomenula, že správy používateľov vo WhatsAppe ostali v bezpečí, keďže sú chránené šifrovaním end-to-end, ktoré zabezpečuje, že obsah komunikácie nie je dostupný nikomu mimo odosielateľa a prijímateľa. Výskumníci tak nemali prístup k žiadnym neverejným správam ani citlivým údajom – problém sa týkal výlučne identifikačných informácií, ako sú telefónne čísla a verejné profilové detaily.
Napriek týmto uisteniam zostáva kauza vážnym upozornením na to, že aj najväčšie technologické firmy môžu zanedbať kľúčové bezpečnostné princípy. Prípad WhatsAppu zároveň ukazuje, aké ľahké je pre útočníkov zhromažďovať informácie o miliardách ľudí – a aké dôležité je, aby firmy reagovali na varovania okamžite, nie až po takmer dekáde. Netreba sa teda obávať, bol to všetko len jeden veľký test.
