Svagheden påvirkede WhatsApps funktion til kontaktregistrering, som kontrollerer, om numre i en enheds adressebog er registreret på platformen. Forskere viste, at mekanismen kunne misbruges til at bekræfte registreringer på tværs af hele regioner og udtrække offentligt synlige profildetaljer. Problemet skabte bekymring for brugernes privatliv, selvom WhatsApp fortsat beskytter selve beskedindholdet med stærk ende-til-ende-kryptering.
Hvordan sårbarheden fungerede
WhatsApp matcher telefonnumre med registrerede konti under kontaktregistrering. Processen gør det muligt for brugere at se, hvilke kontakter der allerede bruger appen.
Forskere opdagede, at de kunne automatisere indsendelsen af store sekvenser af telefonnumre. Systemet svarede med oplysninger, der afslørede, hvilke numre der var knyttet til aktive konti. Svarene indeholdt metadata, der var offentligt synlige, såsom profilbilleder eller “Om mig”-tekster, når brugerne ikke havde begrænset synligheden.
Forskerne rapporterede, at de kunne behandle numre ekstremt hurtigt. De bemærkede, at systemet manglede effektive begrænsninger eller beskyttelsesmekanismer, hvilket gjorde det muligt at udføre uafbrudt nummeropslag.
Hvilke data der kunne indsamles
WhatsApp-sårbarheden afslørede ikke beskedindhold eller private samtaler. Platformens ende-til-ende-kryptering forblev intakt.
Den eksponerede metadata kunne dog stadig medføre betydelig risiko. Oplysningerne omfattede:
- Telefonnummer knyttet til aktive konti
- Profilbilleder, når de var offentligt synlige
- “Om mig”-tekst, hvis den ikke var begrænset
- Registreringsstatus
- Tidsstempler knyttet til kontooprettelse
Disse detaljer kan muliggøre målrettet phishing, stalking, sporing af enheder, koordinerede svindelnumre og identifikation af brugere på tværs af platforme. Sårbarheden gjorde det muligt for angribere at kortlægge brugernærvær på tværs af hele lande.
Hvorfor eksponeringen er vigtig
Metadata afslører ofte mere, end brugere forventer. Når angribere kan se, hvilke numre der tilhører aktive WhatsApp-konti, åbner det for sociale manipulationsangreb.
Bekymringen stiger i regioner, hvor brug af WhatsApp kan indebære politisk eller social risiko. Personer, der lever under restriktive forhold, kan blive overvåget eller profileret alene baseret på bekræftet medlemskab af en beskedtjeneste.
Sårbarheden viste også, hvordan et enkelt svagt punkt kan underminere tilliden til en platforms privatløfte. Selv uden eksponering af indhold kan muligheden for at verificere milliarder af numre skabe systemisk risiko.
Metas reaktion
Meta bekræftede forskningsresultaterne og oplyste, at nye beskyttelsesforanstaltninger er på vej. Selskabet planlægger at indføre stærkere anti-scraping-systemer og mere aggressiv begrænsning af automatiske forespørgsler. Meta meddelte også, at der ikke er tegn på misbrug i stor skala før offentliggørelsen.
Brugere opfordres til at begrænse synligheden af profilbilleder, “Om mig”-oplysninger og sidst set-status. Disse indstillinger reducerer eksponering, selv hvis fremtidige sårbarheder skulle opstå.
Konklusion
WhatsApp-sårbarheden afslørede en betydelig privatlivsrisiko i kontaktregistreringsfunktionen. Angribere kunne indsamle metadata, bekræfte registreringer og kortlægge brugere på tværs af store befolkningsgrupper. Selvom beskedindhold forblev beskyttet, viste sårbarheden, hvor følsom metadata kan være, når en central funktion mangler solide sikkerhedsforanstaltninger. Metas forbedringer er et skridt i den rigtige retning, men brugere bør fortsat være opmærksomme på deres privatlivsindstillinger.
0 svar til “WhatsApp-sårbarhed afslører brugermetadata i stor skala”