WhatsApp, jedna od najpopularnijih aplikacija za razmjenu poruka na svijetu, koju svakodnevno koristi više od 2 milijarde ljudi, nedavno je otkrio ozbiljan sigurnosni propust koji je izazvao globalnu zabrinutost. Stručnjaci su u istraživanju pokazali da ugrađeni mehanizam aplikacije, koji je prvobitno služio za povezivanje telefonskih brojeva, sadrži dizajnersku grešku. Ova greška omogućila je istraživačkom timu testiranje ogromnog broja telefonskih brojeva i povezivanje s najmanje 3,5 milijardi aktivnih WhatsApp računa,znatno više od zvanične tvrdnje WhatsAppa o „preko 2 milijarde“ korisnika.
Važno je naglasiti da ovaj propust ne ugrožava sadržaj poruka, jer su one i dalje zaštićene end-to-end enkripcijom, što znači da samo pošiljalac i primalac mogu čitati sadržaj. Međutim, ranjivost omogućava pristup metapodacima, poput informacija o postojanju računa, povezanih uređaja, vremenu posljednje aktivnosti i statusu korisnika. Ovi podaci sami po sebi nisu osjetljivi, ali ih kriminalci mogu zloupotrijebiti kako bi stvorili jasnu sliku o navikama, lokaciji i online aktivnosti korisnika.
Studija je provedena u saradnji sa SBA Research sa Univerziteta u Beču. Istraživači su otkrili da WhatsApp koristi mehanizam za provjeru telefonskih brojeva kako bi utvrdio da li je određeni broj aktivan na platformi. Funkcija je prvobitno bila jednostavna, ali zbog nedostatka strogih ograničenja, postala je ozbiljan sigurnosni rizik.
Istraživači su razvili algoritam sposoban da testira više od 100 miliona brojeva u jednom satu, brzinom od oko 7.000 upita u sekundi. Na taj način potvrđeno je postojanje najmanje 3,5 milijardi aktivnih WhatsApp naloga.
Iako poruke ostaju šifrirane, metapodaci pružaju veoma vrijedne informacije napadačima. Na primjer, kriminalci mogu otkriti:
- približnu lokaciju korisnika na osnovu pozivnog broja
- model mobilnog telefona koji korisnik koristi
- vrijeme kreiranja naloga i posljednju aktivnost
- broj povezanih uređaja
Uz to, javno dostupne profilne slike, statusi i biografske informacije dodatno povećavaju rizik. Prema istraživanju, 57% korisnika koristi stvarne prepoznatljive fotografije, dok 30% dijeli informacije o poslu, interesima, religiji ili društvenim vezama. Uz savremene AI alate, napadači vrlo lako mogu identifikovati korisnike.
WhatsApp je potvrdio ranjivost i uz saradnju s istraživačima zakrpao problem. Nitin Gupta, potpredsjednik inženjeringa WhatsAppa, izjavio je da nije bilo dokaza o zloupotrebi tokom istraživanja, te da su svi testirani podaci izbrisani.
Ipak, stručnjaci upozoravaju da zakrpa ne znači i potpunu sigurnost. Aljosha Judmayer sa Univerziteta u Beču naglasio je da metapodaci, poput vremena kada ste online, učestalosti komunikacije i obrasca korištenja,i dalje mogu otkriti mnogo o korisniku.
Stručnjaci preporučuju sljedeće korake da se zaštitite:
- Privatnost profila - Postavite profilnu sliku da bude vidljiva samo kontaktima
- Ograničite biografiju i opis samo na poznate kontakte
- Online status - Sakrijte informaciju o posljednjem online statusu
- Isključite prikaz online aktivnosti osim za određene kontakte
- Grupe i uređaji Ograničite ko vas može dodavati u grupe
- Redovno provjeravajte koje su uređaje prijavljeni na vaš račun
- Uklonite nepoznate ili sumnjive uređaje
- Fotografije i dokumenti - Izbjegavajte dijeljenje ličnih dokumenata, ulaznica, adresa i drugih osjetljivih sadržaja
Iako WhatsApp koristi snažnu end-to-end enkripciju, metapodaci i javne informacije i dalje predstavljaju značajan sigurnosni rizik. Ovaj slučaj podsjeća da privatnost nije samo zaštita poruka, nego i pažljivo upravljanje informacijama koje dijelimo i načinom na koji se ponašamo online.