افشای شماره تلفن کاربران با کوتاهی واتس اپ
مهندس وب: پژوهشگران دریافتند یک نقص امنیتی در واتس اپ، امکان افشای شماره تلفن ۳.۵ میلیارد کاربر را فراهم می آورد که یکی از مهم ترین نشت های اطلاعاتی ثبت شده تا حالا به حساب می آید.
به گزارش مهندس وب به نقل از ایسنا، این صدمه پذیری که در خصوصیت کشف مخاطبین این پیامرسان وجود دارد، با وجود هشدارهایی که از سال ۲۰۱۷ به شرکت «متا» داده است، همچنان پابرجا بود و نگرانی های جدی در مورد حریم خصوصی کاربران در پرکاربردترین پلت فرم پیامرسان جهان ایجاد کرد.
این نقص امنیتی در مکانیسم داخلی واتس اپ برای یافتن مخاطبین که نشان میدهد آیا کاربر در این سرویس حضور دارد یا خیر، وجود داشت و هنگام وارد کردن شماره تلفن، جزئیات عمومی مانند تصاویر پروفایل و متن های وضعیت را فاش می کرد.
محققان امنیتی دانشگاه وین این نقص را با پرس وجوی سیستماتیک میلیاردها شماره بالقوه و تائید حساب های فعال با سرعت بیشتر از ۱۰۰ میلیون در ساعت بدون هیچ محدودیتی از جانب واتس اپ، نشان دادند.
مطالعه آنها که در فاصله دسامبر ۲۰۲۴ تا آوریل ۲۰۲۵ انجام شد، با بهره گیری از ابزاری به نام «لیبفونجن» یک مجموعه داده جامع برای ایجاد شماره تلفن های حقیقی در ۲۴۵ کشور ایجاد کرد. این تیم با بهره گیری از پروتکل ایکس ام پی پی واتس اپ از راه یک کلاینت متن باز اصلاح شده، نه تنها به شماره تلفن ها، بلکه به کلیدهای رمزگذاری، مهرهای زمانی و اطلاعات پروفایل عمومی ۵۶.۷ درصد از حساب ها هم دسترسی یافت.
محققان تنها از پنج حساب کاربری معتبر در یک سرور دانشگاهی جهت بررسی ۶۳ میلیارد شماره بالقوه استفاده کردند و ۳.۵ میلیارد شماره فعال را در کمتر از شش ماه شناسایی نمودند.
بر اساس گزارش سایبرسکیوریتی نیوز، نکته نگران کننده اینست که این مطالعه ۲.۹ میلیون مورد استفاده مجدد از کلید عمومی، همچون هویت و کلیدهای پیش فرض را کشف کرد که در صورت سوءاستفاده توسط عوامل مخرب با بهره گیری از کلاینت های غیررسمی، می تواند رمزگذاری سرتاسری را تضعیف کند.
این صدمه پذیری منعکس کننده هشدارهای قبلی است. یک محقق در سال ۲۰۱۷ این مشکل را گزارش کرد، اما «متا» حل آن را هشت سال به تعویق انداخت. داده های افشا شده به صورت قابل توجهی با نقض های قبلی، مانند نشت ۵۰۰ میلیون شماره فیسبوک در سال ۲۰۲۱ که حدودا نیمی از آنها در واتس اپ فعال بودند، همپوشانی دارند و خطرات کلاهبرداری و حملات هدفمند را می افزایند.
محققان اتریشی در آوریل در مورد این مشکل به «متا» اطلاع دادند و این شرکت تا اکتبر، برای پیشگیری از کشف چنین تماس هایی در مقیاس وسیع، محدودیت نرخ را پیاده سازی کرد. اما این محدودیت برای سالهای بسیار زیادی اعمال نشد و در این سال ها، هر نوع عامل مخربی می توانست از این نقص امنیتی سوءاستفاده کند.
خلاصه اینکه به گزارش مهندس وب به نقل از ایسنا، این لطمه پذیری که در خصوصیت کشف مخاطبین این پیام رسان وجود دارد، با وجود هشدارهایی که از سال ۲۰۱۷ به شرکت متا داده است، بازهم پابرجا بود و نگرانی های جدی در مورد حریم خصوصی کاربران در پرکاربردترین پلتفرم پیام رسان جهان ایجاد کرد. مطالعه آنها که در فاصله دسامبر ۲۰۲۴ تا آوریل ۲۰۲۵ انجام شد، با استفاده از ابزاری به نام لیبفونجن یک مجموعه داده جامع برای ایجاد شماره تلفن های حقیقی در ۲۴۵ کشور ایجاد کرد.
منبع: مهندس وب
این مطلب را می پسندید؟
(0)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب