一项重大的WhatsApp安全漏洞几乎暴露了全球每一位用户的电话号码——尽管其母公司Meta早在2017年就已获知该漏洞的存在。
安全研究人员利用一种他们称之为“简单”的攻击方法,从该消息服务中提取了总计35亿个电话号码……
研究人员表示,如果同样的漏洞被恶意行为者利用,其结果将是“历史上规模最大的数据泄露事件”。
此次隐私事件最严重的问题在于,另一位安全研究员在八多年前就已向Meta发出警告,但在这整个时间段内,该公司未能实施修复该问题所需的、极其简单的保护措施。
据《连线》杂志报道。
WhatsApp的广泛普及部分源于在该消息平台上查找新联系人的便捷性:添加某人的电话号码,WhatsApp便会立即显示他们是否在使用该服务,通常还会显示其个人资料图片和姓名。
事实证明,如果用所有可能的电话号码将同样的操作重复数十亿次,该功能也可以作为一种便捷途径,获取地球上几乎每一位WhatsApp用户的手机号码——在许多情况下,还包括能识别这些用户的个人资料照片和文本信息。
早在2017年,一位安全研究员就发现该公司对可执行的电话号码验证次数没有限制,从而导致了此类攻击。令人难以置信的是,八年后,一组来自维也纳大学的奥地利研究人员能够利用完全相同的漏洞,获取几乎每一位WhatsApp用户的电话号码。
他们仅用了半小时就捕获了最初的3000万个美国电话号码,之后便持续进行。
“据我们所知,这标志着有记录以来最广泛的电话号码及相关用户数据暴露事件,”参与该研究的维也纳大学研究人员之一Aljosha Judmayer表示。
当然,研究人员负责任地删除了电话号码数据库并通知了Meta。该公司又花了大约六个月的时间来实施速率限制措施,以防止该功能被用于此类大规模攻击。
WhatsApp声称其已在着手解决此问题,并表示没有发现恶意行为者利用该漏洞的证据。
