19.11.2025
Дата публикации
Автоматизация проверки произвольных номеров в мессенджере позволила
исследователям из Венского университета извлечь данные 3,5 миллиарда пользователей. Для злоумышленников это могло бы стать рекордным уловом.
Достаточно было подавать запросы через веб-версию WhatsApp, проверяя, зарегистрирован ли тот или иной номер. За час удавалось обработать около 100 млн комбинаций — ограничений на частоту запросов не было.
Уязвимость существовала годами: ещё в 2017 году голландский исследователь Лоран Клёзе предупреждал Meta о том же методе. Однако компания тогда не посчитала это критичной угрозой и даже отказалась выплачивать вознаграждение по программе bug bounty.
В ходе нового исследования удалось не только подтвердить старую проблему, но и расширить масштаб: собраны почти все активные номера в базе WhatsApp, включая регионы, где мессенджер официально запрещён — например, 2,3 млн номеров в Китае.
У более чем половины пользователей были видны публичные аватарки и фото, ещё 29 % — открытый текст в поле «о себе». При этом в Индии и Бразилии более 60 % пользователей оставляют фото в открытом доступе.
Исследователи подчёркивают, что это не взлом, а использование штатной функции, доступной любому пользователю. Meta признала проблему и поблагодарила исследователей, заявив, что сообщения оставались защищёнными шифрованием.
Также в ходе исследования обнаружено дублирование криптографических ключей. Это серьёзная проблема безопасности, поскольку любой, у кого есть тот же ключ, что и у другого пользователя, также сможет расшифровать отправленные им сообщения. Возможно, это связано с использованием неофициальных приложений WhatsApp.
Эксперты отметили главную системную слабость: номер телефона — плохой идентификатор для сервиса глобального масштаба. Такой идентификатор уязвим и не подходит для надёжной защиты от перебора.
WhatsApp тестирует альтернативу — учётные имена (usernames), что может снизить зависимость от номеров. Но пока основной способ поиска остаётся уязвимым.
Как резюмирует один из авторов: «Телефонные номера не создавались как секретные идентификаторы. Использовать их так в сервисе для трети человечества — серьёзная ошибка архитектуры приложения».
Достаточно было подавать запросы через веб-версию WhatsApp, проверяя, зарегистрирован ли тот или иной номер. За час удавалось обработать около 100 млн комбинаций — ограничений на частоту запросов не было.
Уязвимость существовала годами: ещё в 2017 году голландский исследователь Лоран Клёзе предупреждал Meta о том же методе. Однако компания тогда не посчитала это критичной угрозой и даже отказалась выплачивать вознаграждение по программе bug bounty.
В ходе нового исследования удалось не только подтвердить старую проблему, но и расширить масштаб: собраны почти все активные номера в базе WhatsApp, включая регионы, где мессенджер официально запрещён — например, 2,3 млн номеров в Китае.
У более чем половины пользователей были видны публичные аватарки и фото, ещё 29 % — открытый текст в поле «о себе». При этом в Индии и Бразилии более 60 % пользователей оставляют фото в открытом доступе.
Исследователи подчёркивают, что это не взлом, а использование штатной функции, доступной любому пользователю. Meta признала проблему и поблагодарила исследователей, заявив, что сообщения оставались защищёнными шифрованием.
Также в ходе исследования обнаружено дублирование криптографических ключей. Это серьёзная проблема безопасности, поскольку любой, у кого есть тот же ключ, что и у другого пользователя, также сможет расшифровать отправленные им сообщения. Возможно, это связано с использованием неофициальных приложений WhatsApp.
Эксперты отметили главную системную слабость: номер телефона — плохой идентификатор для сервиса глобального масштаба. Такой идентификатор уязвим и не подходит для надёжной защиты от перебора.
WhatsApp тестирует альтернативу — учётные имена (usernames), что может снизить зависимость от номеров. Но пока основной способ поиска остаётся уязвимым.
Как резюмирует один из авторов: «Телефонные номера не создавались как секретные идентификаторы. Использовать их так в сервисе для трети человечества — серьёзная ошибка архитектуры приложения».
