عددهم 3.5 مليار مستخدم حول العالم
إنشاء أول دليل هاتفي يضم جميع مستخدمي «واتساب»!
كشف باحثون من جامعة «فيينا» ومركز «إس بي إيه» للأبحاث عن ثغرة أمنية ضخمة في تطبيق «واتساب»، مكّنتهم من التعرف على هوية جميع مستخدمي التطبيق البالغ عددهم 3.5 مليار مستخدم حول العالم.
واستغل الباحثون ميزة اكتشاف جهات الاتصال في التطبيق، والتي صُممت أصلاً للتحقق من أرقام الهواتف الموجودة في قائمة جهات الاتصال الشخصية.
واكتشف الفريق البحثي أن الواجهة البرمجية للتطبيق لم تكن تحتوي على قيود كافية لمعدل الاستعلامات، وهو ما أتاح لهم نظرياً فحص 100 مليون رقم هاتف في الساعة الواحدة.
ونُشرت الدراسة على منصة «GateHub» وفقاً لتقرير نشره موقع «نوت بوك تشيك» المتخصص في التقنية.
وأسفرت الدراسة عن قاعدة بيانات هائلة تضم نحو 3.5 مليار حساب نشط على «واتساب» عبر مختلف دول العالم. وفور تحديد رقم الهاتف كمستخدم مسجل، توفر واجهة برمجة التطبيقات بيانات وصفية متاحة للعامة، تشمل صور الملف الشخصي، ورسائل الحالة، ومعلومات عن آخر ظهور للمستخدم.
وكشفت البيانات التقنية تفاصيل دقيقة عن توزيع أنظمة التشغيل بين المستخدمين، حيث أظهرت النتائج أن نحو 81 في المئة من المستخدمين على مستوى العالم يستخدمون نظام «أندرويد»، بينما يشكل مستخدمو نظام «iOS» نحو 19 في المئة فقط.
وقارن الباحثون هذه البيانات مع تسريب «فيسبوك» الضخم الذي حدث في العام 2021، ووجدوا أن 58 في المئة من الأرقام المسربة آنذاك لا تزال نشطة حتى اليوم، وهو ما يؤكد القيمة الكبيرة لمثل هذه البيانات الضخمة حتى بعد مرور سنوات.
وفي البلدان التي تفرض رقابة صارمة على الإنترنت وتحجب «واتساب»، تم تحديد ملايين المستخدمين النشطين، حيث وُجد 2.333.519 حساباً بأرقام هواتف صينية، وحتى في كوريا الشمالية، تم ربط خمسة أرقام هواتف على الأقل بحسابات على «واتساب».
وأُبلغت شركة «ميتا» المالكة لتطبيق «واتساب» بالثغرة الأمنية، واستجابت بفرض قيود صارمة على معدل الاستعلامات، بحيث لم يعد من الممكن إجراء استعلامات جماعية بهذه السرعة. وبينما أكدت الشركة عدم وجود دليل على استغلال جهات خارجية للثغرة، إلا أن المراجعة الكاملة لمثل هذه المحاولات في الماضي تبقى شبه مستحيلة من الناحية التقنية.
وكشف الباحثون تفصيلاً تقنياً مثيراً للقلق، حيث وجدوا مجموعات من أرقام الهواتف تستخدم المفتاح العام التشفيري نفسه، وهو أمر يُفترض أن يكون مستحيلاً تقنياً عند استخدام التطبيق الرسمي على الأجهزة الفعلية.
ويشير إعادة استخدام المفاتيح هذه بقوة إلى استخدام برامج غير رسمية، كتلك المستخدمة في «مزارع النقرات» أو روبوتات التسويق، وهو ما يقوض بشكل كبير البنية الأمنية للتطبيق.
