Svakheten påvirket WhatsApps funksjon for kontaktoppdagelse, som sjekker om numre i en enhets adressebok er registrert på plattformen. Forskere viste at mekanismen kunne misbrukes til å bekrefte registreringer på tvers av hele regioner og hente ut offentlig synlige profildetaljer. Problemet skapte bekymring rundt personvern, selv om WhatsApp fortsatt beskytter meldingsinnhold med sterk ende-til-ende-kryptering.
Hvordan sårbarheten fungerte
WhatsApp matcher telefonnumre med registrerte kontoer under kontaktoppdagelsen. Prosessen gjør at brukere kan se hvilke kontakter som allerede bruker appen.
Forskere oppdaget at de kunne automatisere innsendingen av store sekvenser med telefonnumre. Systemet svarte med data som avslørte hvilke numre som var knyttet til aktive kontoer. Svarene inkluderte metadata som var offentlig synlig, som profilbilder eller «Om meg»-tekster når brukeren ikke hadde begrenset innstillingene sine.
Forskerne rapporterte at de kunne behandle numre svært raskt. De påpekte at systemet manglet effektive begrensninger og beskyttelsestiltak. Dermed kunne angripere utføre kontinuerlig nummeroppslag uten avbrudd.
Hvilke data som kunne samles inn
WhatsApp-sårbarheten avslørte ikke meldingsinnhold eller private samtaler. Plattformens ende-til-ende-kryptering forble intakt.
Den eksponerte metadataen kunne likevel innebære betydelig risiko. Informasjonen omfattet:
- Telefonnummer knyttet til aktive kontoer
- Profilbilder når de var offentlig synlige
- «Om meg»-tekst når den ikke var begrenset
- Registreringsstatus
- Tidsstempler knyttet til kontoopprettelse
Disse detaljene kan gjøre målrettet phishing, stalking, enhetssporing, koordinerte svindler og identifisering på tvers av plattformer mulig. Sårbarheten gjorde det mulig å kartlegge brukere på tvers av hele land.
Hvorfor eksponeringen er viktig
Metadata avslører ofte mer enn brukere forventer. Når angripere kan identifisere hvilke telefonnumre som tilhører aktive WhatsApp-kontoer, åpner det for sosial-manipuleringsangrep.
Bekymringen er særlig stor i regioner der bruk av WhatsApp kan innebære politisk eller sosial risiko. Personer som lever under restriktive forhold kan risikere overvåkning eller profilering kun basert på bekreftet tilstedeværelse på en meldingstjeneste.
Saken viste også hvordan én svak komponent kan svekke tilliten til en plattforms personvern. Selv uten innholdseksponering kan muligheten til å verifisere milliarder av telefonnumre skape systemisk risiko.
Metas respons
Meta bekreftet funnene og opplyste at nye beskyttelsestiltak rulles ut. Selskapet planlegger sterkere anti-scraping-systemer og mer aggressive begrensninger på automatiserte forespørsler. Meta opplyste også at det ikke finnes tegn til at angripere utnyttet sårbarheten i stor skala før avsløringen.
Brukere oppfordres til å begrense synlighet for profilbilder, «Om meg»-informasjon og sist-sett-status. Disse innstillingene kan redusere eksponering selv om fremtidige svakheter skulle oppstå.
Konklusjon
WhatsApp-sårbarheten avslørte et betydelig personvernproblem i kontaktoppdagelsesfunksjonen. Angripere kunne samle inn metadata, bekrefte registreringer og kartlegge brukere i stor skala. Selv om meldingsinnhold forble beskyttet, viste sårbarheten hvor følsom metadata kan være når en sentral funksjon mangler tilstrekkelige sikkerhetstiltak. Metas forbedringer er et positivt steg, men brukerne må fortsatt følge med på egne personverninnstillinger for å redusere risiko.
0 svar til “WhatsApp-sårbarhet avslører brukermetadata i stor skala”