WhatsApp API漏洞致35亿账户数据可被收集:漏洞挖掘与隐私警示

研究人员发现并利用WhatsApp联系人查询API中的漏洞,通过高速查询,成功识别并收集了超过35亿个注册账户的数据,包括个人资料图片和状态信息,凸显了大规模数据抓取与隐私风险。

WhatsApp关闭漏洞,该漏洞曾让研究人员收集35亿账户数据

即时通讯巨头WhatsApp在180多个国家拥有约30亿用户。研究人员表示,由于软件中的一个缺陷,他们能够识别出约35亿个已注册的WhatsApp账户。这个更高的数字之所以可能,是因为WhatsApp的API会返回所有注册到手机号码的账户,包括不活跃的、被回收的或废弃的账户,而不仅仅是活跃用户。

如果您想向WhatsApp用户发送消息,首先需要确认他们拥有该服务的账户。WhatsApp允许应用程序通过将用户的手机号码发送到一个应用程序编程接口(API)来实现这一点。该API会检查每个号码是否已在WhatsApp注册,并返回基本的公开信息。

WhatsApp的API会告诉任何询问它的程序某个手机号码是否注册了WhatsApp账户,因为这就是它识别用户的方式。但这本应一次只处理少量请求。

理论上,WhatsApp应该限制您在短时间内可以进行多少次此类查询,以防止滥用。但实际上,维也纳大学和安全实验室SBA Research的研究人员发现,这些“预期限制”很容易被突破。

他们生成了245个国家/地区符合有效格式的数十亿个电话号码,并向WhatsApp的服务器发送查询。联系人发现API的回复速度足够快,使他们能够每小时查询超过1亿个号码,并确认了超过35亿个活跃账户。

该团队从一个单一源IP地址每秒发送了大约7000个查询。这种流量规模应该会引起任何称职的IT管理员的注意,然而WhatsApp并未阻止该IP地址或测试账户,研究人员表示他们没有遇到任何有效的速率限制:

“令我们惊讶的是,我们的IP地址和账户都没有被WhatsApp封锁。此外,我们也没有遇到任何禁止性的速率限制。”

WhatsApp的数据狂欢

暴露的数据不仅限于识别活跃的手机号码。通过将这些号码与其他公开可访问的WhatsApp端点进行比对,研究人员能够收集:

  • 个人资料图片(公开可见的)
  • “关于”个人资料文本
  • 与账户相关的元数据

根据样本,大部分用户(在美国地区约为三分之二)的个人资料照片是可用的。这带来了明显的隐私担忧,尤其是与现代人工智能工具结合时。研究人员警告:

“在恶意行为者手中,这些数据可用于构建基于面部识别的查询服务——本质上是一个‘反向电话簿’——可以根据个人的面部来查询个人及其相关电话号码和可用元数据。”

“关于”文本(默认设置为“嘿!我正在使用WhatsApp”)也可能泄露超出预期的信息。一些用户会包含政治观点、性身份或取向、宗教信仰,或其他根据GDPR被视为高度敏感的信息。其他人则发布指向OnlyFans账户的链接,或敏感组织(包括军方)的工作邮箱地址。这些信息本意是给联系人看的,而不是整个互联网。

尽管道德规范阻止了团队检查具体的个人,但他们确实进行了更高层次的分析……并发现了一些引人注目的事情。特别是,他们发现在该服务被禁止的国家/地区存在数百万个活跃的WhatsApp注册账户。他们的数据集中包含:

  • 在去年圣诞节禁令解除前,伊朗有近6000万个账户,之后增加到6700万个
  • 中国有230万个账户
  • 缅甸有160万个账户
  • 甚至在朝鲜也有少数(五个)账户

历史教训与持久影响

对于Meta来说,这已经不是第一次意外地泄露数据了。2021年,5.33亿个Facebook账户在有人从Facebook自己的联系人导入功能中抓取数据后被公开泄露。

这个新项目显示了这些泄露的影响能持续多久。维也纳大学和SBA Research的研究人员发现,今年,在Facebook数据抓取事件中泄露的手机号码中,有58%仍然是活跃的WhatsApp账户。与密码不同,手机号码很少更改,这使得被窃取的数据集在很长一段时间内对攻击者都有用。

研究人员认为,拥有数十亿用户的WhatsApp现在功能上很像公共通信基础设施,但其透明度远不如受监管的电信网络或开放的互联网标准。他们写道:

“由于其目前的地位,WhatsApp承担着类似于公共电信基础设施或互联网标准(例如电子邮件)的责任。然而,与由公开发布的RFC管理并通过协作标准维护的核心互联网协议不同,这个平台没有提供相同水平的透明度或可验证性,以便于第三方审查。”

Meta做了什么?

在研究人员于4月份通过Meta的漏洞赏金计划披露问题后,Meta于上个月开始实施更严格的速率限制。

在给SBA Research的一份声明中,WhatsApp副总裁Nitin Gupta表示,公司“已经在开发行业领先的反抓取系统”。他补充说,被爬取的数据已经在其他地方公开可用,并且由于端到端加密,消息内容仍然是安全的。

我们很幸运这个数据集落入了研究人员手中——但显而易见的问题是,如果情况并非如此,会发生什么?或者他们是否真的是第一个注意到这个漏洞的人?该论文本身就强调了这种担忧,并警告:

“我们可以不受阻碍地获取这些数据,这意味着其他人可能也已经这样做了。”

对于那些生活在严格政权下的人来说,如果这些数据被滥用,可能会带来真正的危险。尽管WhatsApp表示“没有证据表明恶意行为者滥用此途径”,但缺乏证据并不等于没有证据,特别是对于抓取活动来说,事后检测是出了名的困难。

您可以如何保护自己?

如果有人已经爬取了您的数据,您无法撤销它。但您可以减少未来可见的信息:

  • 避免在WhatsApp的“关于”部分或任何社交网络个人资料中放入敏感细节。
  • 将您的个人资料照片和“关于”信息设置为仅对联系人可见。
  • 假设您的手机号码是一个长期标识符。尽量减少与之关联的公开信息。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次