نقص امنیتی واتس اپ؛ افشای میلیاردها شماره و پروفایل ها

یک تیم پژوهشی اتریشی کشف کرد که برای سال‌ها امکان تأیید ثبت شماره تلفن در واتس‌اپ و استخراج برخی داده‌های پروفایل برای حدود ۳.۵ میلیارد حساب به‌راحتی ممکن بوده است؛ با بررسی پیامدها و راه‌های محافظت برای کاربران.

5 نظرات
نقص امنیتی واتس اپ؛ افشای میلیاردها شماره و پروفایل ها

7 دقیقه

کشف اخیر تیمی از پژوهشگران امنیتی اتریشی واقعیتی نگران‌کننده را نشان می‌دهد: برای سال‌ها تأیید اینکه آیا هر شماره تلفنی در واتس‌اپ ثبت شده است یا نه بسیار ساده بوده و همچنین امکان استخراج برخی داده‌های عمومی پروفایل مرتبط با آن شماره به راحتی فراهم بوده است. این آسیب‌پذیری تقریباً روی ۳.۵ میلیارد حساب تأثیر گذاشته و نشان می‌دهد چگونه یک ویژگی تسهیل‌کننده می‌تواند به ریسک حریم خصوصی در مقیاس بزرگ تبدیل شود.

No hack required — just the app's contact discovery

رشد واتس‌اپ بر پایه یک مکانیک ساده بنا شده است: ارتباط با افراد از طریق شماره تلفن. همین مکانیزم به پژوهشگران امکان داد تا به صورت دسته‌ای و منظم حساب‌ها را فهرست‌برداری کنند. به جای سوءاستفاده از یک ضعف نرم‌افزاری کلاسیک یا حمله فنی پیشرفته، تیم پژوهشی از نسخه وب واتس‌اپ مانند هر کاربر عادی استفاده کرد — بارها و بارها تلاش می‌کردند شماره‌ها را اضافه کنند و پاسخ‌های سرویس را مشاهده می‌نمودند تا بفهمند شماره مذکور روی پلتفرم ثبت شده است یا خیر.

با خودکارسازی این فرایند در مقیاس بزرگ و با استفاده از ابزارهای خودکار سازی (automation) مانند اسکریپت‌ها، سرورهای توزیع شده، یا نمونه‌های headless browser که رفتار کاربر را تقلید می‌کنند، پژوهشگران توانستند میلیون‌ها ورودی را در هر ساعت بررسی کنند. گزارش تیم حاکی است که اوج نرخ آزمایشی آنها در برخی زمان‌ها به حدود ۱۰۰ میلیون شماره تلفن بررسی‌شده در ساعت رسیده بود. حاصل کار این بود که شماره تلفن تقریباً ۳.۵ میلیارد کاربر واتس‌اپ قابل کشف شد. برای حدود ۵۷٪ از این حساب‌ها، مهاجمان همچنین می‌توانستند عکس پروفایل را ببینند؛ و برای حدود ۲۹٪، متن عمومی پروفایل یا خط «About» در دسترس بود.

Why this went unaddressed for so long

شرکت متا — مالک واتس‌اپ — قبلاً در مورد ضعف‌های کشف مخاطب (contact-discovery) اطلاع‌رسانی شده بود. یک پژوهشگر در سال ۲۰۱۷ هشدارهایی مطرح کرد، اما تدابیر مؤثر سمت سرور برای جلوگیری از سوءاستفاده به مدت چند سال اجرا نشد. گروه اتریشی این مشکل را به‌صورت خصوصی در ماه آوریل به متا گزارش داد و نهایتاً در ماه اکتبر متا مکانیزم محدودسازی نرخ (rate-limiting) را معرفی کرد تا شمارش انبوه حساب‌ها کمتر عملی شود. با این حال، دوره‌ای که اطلاعات در معرض بود به قدر کافی طولانی بود تا بسیاری از بازیگران مخرب بتوانند از این مکانیزم سوءاستفاده نمایند.

دلایل فنی و سازمانی متعددی می‌تواند باعث طولانی شدن این بازه زمانی شده باشد: اولویت‌بندی ویژگی‌ها و عملکرد محصول به جای سخت‌افزاری کردن حفاظت‌های سمت سرور، پیچیدگی و ریسک اختلال در تجربه کاربری در صورت اعمال محدودیت‌های سخت‌گیرانه، و نیز دشواری در تشخیص و پیاده‌سازی الگوهای درست rate-limiting که بین جلوگیری از سوءاستفاده و نگهداری تجربه خوب کاربر تعادل برقرار کند. همچنین، برخی سازوکارهای کشف مخاطب نیازمند مقایسه شماره‌ها با فهرست مخاطبان محلی هستند که از زاویه طراحی محصول، غیرفعال کردن کامل آن باعث شکست تجربه کاربری برای میلیون‌ها نفر می‌شود.

What Meta says

متا تأکید کرده است که جزئیات افشا شده «اطلاعات عمومی و پایه‌ای در دسترس همگان» بوده‌اند و عکس‌های پروفایل و متن About برای کاربرانی که آنها را خصوصی کرده بودند در دسترس نبوده است. این شرکت همچنین اعلام کرده است که «هیچ مدرکی از سوءاستفاده بازیگران مخرب از این بردار را نیافته» و پژوهشگران نیز به هیچ داده غیرعمومی دسترسی نداشته‌اند. این بیانیه حاوی نکات مهمی است، اما برای تحلیل‌گران و کارشناسان حریم خصوصی، چنین توضیحاتی کافی نیست؛ چرا که حتی داده‌های عمومیِ پردازش‌شده در مقیاس بزرگ می‌توانند در کنار سایر منابع اطلاعاتی برای اهداف ناخواسته‌ای مانند شناسایی، جعل هویت یا کمپین‌های فیشینگ مورد استفاده قرار گیرند.

What this means for users — and practical steps to protect yourself

حتی اگر تاکنون سوءاستفاده گسترده‌ای اثبات نشده باشد، این رخداد یادآور این موضوع است که ویژگی‌هایی که برای راحتی کاربران طراحی می‌شوند می‌توانند در صورت نبود محافظت مناسب، باعث نشت اطلاعات حساس در مقیاس وسیع شوند. در ادامه، اقداماتی منطقی و فنی که کاربران می‌توانند فوراً انجام دهند آورده شده است تا سطح ریسک را کاهش دهند:

  • بازنگری در تنظیمات حریم خصوصی واتس‌اپ: عکس پروفایل و About را به «مخاطبین من» یا «هیچ‌کس» محدود کنید تا دسترسی افراد ناشناس به این اطلاعات محدود شود. این تنظیم برای کاهش احتمال استفاده از تصویر یا متن عمومی در تحلیل‌های پروفایلی مفید است.
  • فعال‌سازی تأیید دومرحله‌ای (two-step verification) در حساب واتس‌اپ: این کار یک پین (PIN) افزوده برای احراز هویت ایجاد می‌کند که حتی در صورت به‌دست‌آمدن کد تأیید پیامکی نیز از ورود غیرمجاز جلوگیری می‌کند.
  • احتیاط در اشتراک‌گذاری شماره تلفن: از قرار دادن شماره تلفن شخصی خود در پروفایل‌های عمومی شبکه‌های اجتماعی یا وب‌سایت‌ها خودداری کنید — شماره تلفن اغلب اصلی‌ترین شناسه‌ای است که مهاجمان برای هدف قرار دادن قربانیان نیاز دارند.
  • استفاده از شماره ثانویه: برای سرویس‌ها و خدماتی که نیاز به ثبت شماره دارند ولی تمایل ندارید شماره اصلی‌تان قابل کشف باشد، از شماره دوم یا خدمات شماره مجازی استفاده کنید تا سطح قرارگیری در معرض کاهش یابد.
  • به‌روز نگه‌داشتن نرم‌افزارها و دستگاه‌ها: با نصب آخرین نسخه واتس‌اپ و به‌روزرسانی سیستم‌عامل، از آخرین اصلاحات امنیتی و محافظت‌های پلتفرمی بهره‌مند شوید.

قابلیت کشف مخاطب یک ویژگی پایه‌ای در اپلیکیشن‌های پیام‌رسان است و غیرفعال‌سازی کامل آن عملکرد محصول را برای بسیاری از کاربران مختل می‌کند. راه‌حل‌های مبتنی بر محدودسازی نرخ و تشخیص رفتاری (behavioral detection) می‌توانند استخراج انبوه داده را دشوارتر نمایند، اما این رخداد نیاز شرکت‌ها را برای ایجاد توازن میان قابلیت‌پذیری (usability) و محافظت‌های پیشگیرانه قوی‌تر نشان می‌دهد. برای کاربران، تنظیمات محافظه‌کارانه حریم خصوصی، استفاده از احراز هویت قوی و رعایت نکات بهداشت حساب (account hygiene) بهترین دفاع‌ها هستند.

نکته فنی مهم این است که حتی اگر داده‌های استخراج‌شده صرفاً «عمومی» تلقی شوند، زمانی که با منابع دیگر ترکیب شوند (مثلاً اطلاعات شبکه‌های اجتماعی، دیتابیس‌های فاش‌شده گذشته یا لیست‌های خریداری‌شده)، می‌توانند به پروفایل‌های بسیار دقیق از افراد منجر شوند؛ این پروفایل‌ها در بازاریابی هدفمند، فیشینگ پیشرفته، یا حتی عملیات‌های مجرمانه مورد استفاده قرار می‌گیرند. از دید مهندسی، دفاع لایه‌ای (defense-in-depth) شامل محدودسازی نرخ، تشخیص الگوهای غیرعادی درخواست‌ها، تأیید اعتبار سرویس به‌صورت قوی و بازبینی دوره‌ای طراحی‌های حریم خصوصی می‌تواند ریسک‌های آتی را کاهش دهد.

در سطح سیاست‌گذاری و رگولاتوری نیز این حادثه بازتاب‌هایی دارد: تنظیم‌کنندگان حریم خصوصی و داده‌ها ممکن است انتقاد کنند که شرکت‌ها باید سازوکارهایی برای جلوگیری از فهرست‌برداری توده‌ای از کاربران مهیا کنند؛ همچنین شرکت‌ها باید شفاف‌تر درباره ویژگی‌های کشف مخاطب و خطرات بالقوه آن اطلاع‌رسانی کنند تا کاربران بتوانند انتخاب‌های آگاهانه‌تری داشته باشند.

در خاتمه، این رویداد یک هشدار مهم برای کاربران، پژوهشگران امنیتی و مدیران محصول است: قابلیت‌هایی که مزیت عملکردی دارند باید از ابتدا با مفاهیم محافظت از حریم خصوصی طراحی شوند (privacy by design). حتی پس از اصلاحات فنی مانند rate-limiting، بازنگری مکرر، تست‌های نفوذ مستقل و نظارت مداوم لازم است تا از تکرار چنین وضعیتی جلوگیری شود.

منبع: gsmarena

ارسال نظر

نظرات

آرمین

تیتر یه ذره دراماتیک بود اما نکته فنی مهمه؛ کاربران تنظیماتشون رو بازبینی کنن و دو مرحله‌ای فعال کنن، واقعا ساده اما موثر.

پاسخ
بیونیکس

در شرکت قبلیم شبیه همینو دیدم، rate limiting همیشه از طراحی اولیه فرار میکنه. privacy by design باید جدی گرفته بشه، نه پس از فاجعه.

پاسخ
توربو

واقعاً؟ هیچ مدرکی از سوءاستفاده وجود نداره؟ شک دارم، این جور چیزا معمولا دیر یا مصلحتی اعلام میشه ، ردپاها پاک میشه...

پاسخ
کوینپ

قابل فهمه، ولی خب واقعا مردم باید بیشتر حواسشون باشه؛ تنظیمات رو سخت کنن و شماره‌هاتون رو عمومی نذارید.

پاسخ
دیتاپالس

وااای، جدی؟ یعنی میلیون‌ها شماره به راحتی قابل فهرست شدن بودن... نگران‌کننده‌س. متا باید پاسخگو باشه!

پاسخ

مطالب مرتبط