6 Minutės
Neseniai Austrijos saugumo tyrėjų atliktas atradimas atskleidė nerimą keliančią realybę: keletą metų buvo itin paprasta patikrinti, ar bet koks telefono numeris yra užregistruotas WhatsApp — ir gauti su tuo numeriu susietus viešus profilio duomenis. Ši spraga paveikė maždaug 3,5 mlrd. paskyrų ir pabrėžė, kaip patogumo funkcija gali tapti plataus masto privatumo rizika. Šis incidentas sukėlė susirūpinimą dėl WhatsApp privatumo politikos, kontaktų aptikimo mechanizmo ir galimų duomenų nutekėjimo scenarijų, ypač kai kalbama apie profilio nuotraukas ir viešąsias „Apie“ eilutes.
No hack required — just the app's contact discovery
WhatsApp sėkmė ir masinis augimas iš dalies grindžiami paprasta mechanika: ryšį užmezgate naudodami telefono numerį. Būtent ši mechanika leido tyrėjams masiškai užregistruoti ir išsiaiškinti, kurie numeriai turi aktyvias WhatsApp paskyras. Vietoje klasikinio programinės įrangos pažeidžiamumo išnaudojimo, komanda naudojo WhatsApp Web taip, kaip naudotojas: bandė pridėti numerius ir stebėjo, kaip paslauga atsako į kiekvieną bandymą. Tai parodė, kad funkcija, skirta palengvinti kontaktų aptikimą, techniniu požiūriu atveria galimybes masinei skenavimo operacijai (telefonų numerių tikrinimas, kontaktų identifikavimas, viešų profilių duomenų surinkimas).
Automatizuodami šį procesą dideliu mastu, tyrėjai sugebėjo patikrinti milijonus įrašų per valandą. Šiais metais jie pranešė apie piką — maždaug 100 mln. telefono numerių tikrinimų per valandą. Tai leido atrasti, kad maždaug 3,5 mlrd. WhatsApp naudotojų telefono numeriai buvo potencialiai aptinkami per kontaktų aptikimo mechanizmą. Iš tų paskyrų apie 57 % leido matyti profilio nuotraukas, o apie 29 % atskleidė viešąjį profilio tekstą („Apie“ eilutę). Techniniu požiūriu tai daugiau primena protokolo ar paslaugos elgesio charakteristikos išnaudojimą nei tradicinį „haką“ — paslauga tiesiog grąžino naudingą informaciją kaip dalį to, kaip ji nustato, ar kontaktas egzistuoja.
Why this went unaddressed for so long
Meta — WhatsApp valdančioji įmonė — jau buvo įspėta apie kontaktų aptikimo silpnybes anksčiau. Vienas tyrėjas apie tokį rizikos scenarijų pranešė dar 2017 m., tačiau reikšmingos serverio pusės apsaugos priemonės toliau nebuvo diegiamos kelis metus. Austrijos tyrėjų komanda apie savo išvadas pranešė privačiai Meta šių metų balandį. Tik spalio mėnesį Meta įdiegė normavimo (rate-limiting) mechanizmus, dėl kurių masinė numerių enumeracija tapo kur kas mažiau praktiška. Tačiau paveiktas laiko langas buvo pakankamai ilgas, kad kai kurie piktybiniai veikėjai galėjo pasinaudoti šia mechanika prieš pateikiant pataisymus.
Ilgalaikė problema kyla iš kelių priežasčių: funkcijos dizainas, kurio tikslas — patogumas ir greitas kontaktų sinchronizavimas; serverio pusės atsakymų modelis, kuris leido atskirti, ar numeris yra registruotas; ir ilgalaikis prioritetų vertinimas įmonėje, kur privatumo sprendimai kartais atidedami arba sprendžiami palaipsniui. Be to, globalus mastas — milijardai vartotojų ir didžiulis telefonų numerių kiekis su tarptautiniais formatais — dar labiau komplikuoja greitus pataisymus. Nors rate-limiting sumažina masinio skanavimo tikimybę, tai nėra visiškas sprendimas: adekvatūs serverio pusės atributų privatumo apribojimai ir atitinkami dizaino pakeitimai būtų reikalingi, kad panašios atakos būtų praktiškai neįmanomos.
What Meta says
Meta pabrėžė, kad iškelti duomenys buvo „pagrindinė viešai prieinama informacija“ ir kad profilio nuotraukos bei „Apie“ tekstas nėra prieinami vartotojams, kurie šiuos laukus nustatė kaip privatų arba ribojamą tik savo kontaktams. Įmonė taip pat teigė, kad „nerado įrodymų, jog piktybiniai veikėjai piktnaudžiavo šiuo vektoriu“, ir kad tyrėjai neprašė prieigos prie jokios ne viešos informacijos. Tai svarbus Meta pareiškimas komunikacijos kontekste, tačiau jis neatmeta to, kad pats kontaktų aptikimo mechanizmas leido masinį identifikavimą ir viešų profilių duomenų surinkimą. Taip pat verta pažymėti, kad tokio tipo tyrimų ataskaitos dažnai yra ribotos dėl jų privačios atskaitomybės pobūdžio; nepriklausoma auditorija ir platesnis skaidrumas galėtų padidinti pasitikėjimą, kad panašūs rizikos vektoriai yra sprendžiami nuosekliai.
What this means for users — and practical steps to protect yourself
Nors plačiai paplitęs piktnaudžiavimas šiuo atveju nebuvo įrodytas, šis incidentas primena, kad funkcijos, sukurtos patogumui, gali leisti atskleisti jautrią informaciją dideliu mastu. Tai ypač aktualu, kai kalbama apie mobiliojo telefono numerius kaip pagrindinius identifikatorius. Žemiau pateikiami praktiški veiksmai, kuriuos naudotojai gali atlikti nedelsdami, kad sumažintų privatumo ir saugumo rizikas, susijusias su WhatsApp kontaktų aptikimu ir profilio viešumo nustatymais:
- Peržiūrėkite WhatsApp privatumo nustatymus: nustatykite Profilio nuotrauką ir „Apie“ į „Mano kontaktai“ arba „Niekam“, jei norite apriboti, kas gali jas matyti. Tai taip pat svarbu, jei dalyvaujate viešuose forumuose ar socialiniuose tinkluose, kur jūsų numeris gali būti lengvai surenkamas.
- Įjunkite dviejų žingsnių patvirtinimą savo WhatsApp paskyroje, kad pridėtumėte PIN kodą papildomam apsaugos sluoksniui. Tai apsaugo nuo nepageidaujamų paskyros prisijungimų ir sumažina SIM-swapping tipo atakų riziką, kai piktavaliai bando perimti jūsų numerį.
- Būkite atsargūs dalindamiesi telefono numeriu viešai arba socialiniuose tinkluose — dažnai tai yra pagrindinis identifikatorius, kurio reikia piktavaliai. Apsvarstykite galimybę naudoti verslo arba viešo profilio numerį atskirai nuo asmeninio.
- Apsvarstykite naudojimąsi antriniu numeriu paslaugoms, kuriose sutinkate būti matomi arba atsakyti į užklausas. Virtualūs numeriai arba skaitmeninės telefono paslaugos gali padėti izoliuoti jūsų pagrindinį numerį nuo masinio skenavimo ir nepageidaujamo kontaktavimo.
- Laikykite programas ir įrenginius atnaujintus, kad gautumėte naujausius platformos apsaugos pataisymus ir saugumo sprendimus. Naujinimai dažnai taiso ne tik programų klaidas, bet ir mažina riziką, susijusią su funkcijų netikėtu išnaudojimu.
Kontaktų aptikimas yra esminė žinučių siuntimo programų funkcija, ir visiškas jos išjungimas daugeliui vartotojų reikštų patogumo praradimą. Normavimo (rate-limiting) sprendimai daro masinį skenavimą daug sudėtingesnį ir brangesnį, tačiau pats incidentas pabrėžia įmonių poreikį subalansuoti naudojimo paprastumą su tvirta ir proaktyvia apsauga. Vartotojams konservatyvūs privatumo nustatymai, tinkama paskyros higiena ir kritinis požiūris į telefono numerio skelbimą internete išlieka efektyviausios gynybos priemonės.
Šaltinis: gsmarena
Komentarai
bituvas
Ar nuo 2017 niekas neįspėjo rimtai? Kažkas čia nesutampa — leisti tokią mechaniką be rimtos serverio apsaugos, na, nepatikima. Ką daryti jei numerį turiu viešai?..
Tomas
Oi, rimtai? 3,5 mlrd profilių… Kaip tai galėjo stovėti nepašalinta taip ilgai? Šlykštu, bet kažkur ir logiška, kai verslo prioritetai kitur. Reikėtų griežčiau.
Palikite komentarą