باحثون يكتشفون ثغرة أمنية في واتساب

اكتشف باحثون من جامعة فيينا ومؤسسة إس بي إيه رسيرش للأبحاث ثغرة أمنية في تطبيق التراسل واتساب تهدّد خصوصية قائمة معارف المستخدم. وتسمح الثغرة باكتشاف استخدام دفتر أرقام مستخدم للعثور على مستخدمي واتساب آخرين من خلال رقم هاتفهم. وأثبت الباحثون أنه من الممكن الاستعلام عن أكثر من مائة مليون رقم هاتف في الساعة من خلال البنية التحتية لـواتساب، ووجدوا في المحصّلة أكثر من 3.5 مليارات حساب نشط في 245 دولة.

والبيانات المتاحة المستخدمة في الدراسة هي نفسها التي تكون متاحة للعامة لأي شخص يعرف رقم هاتف المستخدم، وتتكون من رقم الهاتف، والمفاتيح العامة، وأوقات الأنشطة، ومعلومات حول النصوص وصورة البروفايل. من هذه البيانات، تمكّن الباحثون من استخراج معلومات إضافية، مثل نظام تشغيل المستخدم، وعمر حسابه، بالإضافة إلى عدد الأجهزة المرتبطة بالحساب. تُظهر الدراسة أنه حتى هذه الكمية المحدودة من البيانات لكل مستخدم يمكن أن تكشف عن معلومات مهمة.

ووجدت الدراسة معلومات مهمة أخرى على صعيد أوسع، فقد رصد ملايين حسابات واتساب النشطة في دول حيث التطبيق محظور، مثل الصين وإيران وميانمار. وكشفت معلومات حول التوزيع العالمي للتطبيق بين أجهزة أندرويد (81%) مقابل أجهزة آبل (19%)، والاختلافات الإقليمية في سلوكات الخصوصية (مثل استخدام صور البروفايل العامة أو النص التعريفي للحساب، والتباينات في نمو المستخدمين عبر البلدان.

وأظهر عدد قليل من الحالات إعادة استخدام مفاتيح التشفير عبر أجهزة أو أرقام هواتف مختلفة، مما يشير إلى ثغرات محتملة لدى عملاء واتساب غير الرسميين أو استخدام احتيالي. وما يقرب من نصف أرقام الهواتف التي ظهرت في تسريب بيانات فيسبوك عام 2021 لـ500 مليون رقم هاتف كانت لا تزال نشطة على واتساب. وهذا يُسلّط الضوء على المخاطر الدائمة للأرقام المسرَّبة مثل استهدافها بمكالمات احتيالية.

ويوضح الباحث الرئيسي في هذه الدراسة، غابرييل جيجينهوبر، أنه عادةً، لا ينبغي للنظام أن يستجيب لهذا العدد الكبير من الطلبات في وقت قصير كهذا، خاصةً عندما يكون مصدرها واحداً. ويضيف: كشف هذا السلوك عن الثغرة الكامنة، مما سمح لنا بإرسال