Svagheten påverkade WhatsApps funktion för kontaktupptäckt, som kontrollerar om nummer i en enhets adressbok är registrerade på plattformen. Forskare visade att mekanismen kunde missbrukas för att bekräfta registreringar över hela regioner och extrahera tillhörande offentliga profildetaljer. Problemet väckte oro för användarnas integritet trots WhatsApps starka kryptering av meddelandeinnehåll.
Hur sårbarheten fungerade
WhatsApp matchar telefonnummer med registrerade konton under kontaktupptäckten. Processen gör att användare kan se vilka kontakter som redan använder appen.
Forskare upptäckte att de kunde automatisera inlämningen av stora sekvenser av nummer. Systemet svarade med information som avslöjade vilka nummer som var kopplade till aktiva konton. Svaren inkluderade metadata som var offentligt synliga, såsom profilbilder eller ”Om mig”-texter när användarna inte hade begränsat sin synlighet.
Forskarna rapporterade att de kunde behandla telefonnummer mycket snabbt. De noterade att systemet saknade effektiva begränsningar eller skyddsmekanismer. Detta gjorde det möjligt att utföra kontinuerlig numreringen utan avbrott.
Vilken data som kunde samlas in
WhatsApp-sårbarheten avslöjade inte meddelandeinnehåll eller privata konversationer. Plattformens end-to-end-kryptering förblev intakt.
Trots detta innebar den exponerade metadata ändå betydande risk. Informationen inkluderade:
- Telefonnummer kopplade till aktiva konton
- Profilbilder när de var offentligt synliga
- ”Om mig”-text när den inte var begränsad
- Registreringsstatus
- Tidsstämplar kopplade till kontots skapande
Dessa detaljer kan möjliggöra riktade phishingförsök, stalking, enhetsspårning, koordinerade bedrägerier och identifiering av användare på andra plattformar. Sårbarheten gjorde det möjligt för angripare att kartlägga användarnärvaro över hela länder.
Varför exponeringen spelar roll
Metadata avslöjar ofta mer än vad användare förväntar sig. När angripare kan se vilka nummer som hör till aktiva WhatsApp-konton får de nya möjligheter att inleda social-engineering-attacker.
Oro finns särskilt i regioner där användning av WhatsApp innebär politisk eller social risk. Personer som lever under restriktiva förhållanden kan utsättas för övervakning eller profilering baserat enbart på bekräftat medlemskap i en meddelandetjänst.
Sårbarheten visade också hur en enda svag punkt kan underminera förtroendet för en plattforms integritetsskydd. Även när innehållet förblir skyddat kan möjligheten att verifiera miljarder telefonnummer skapa ett systemiskt säkerhetsproblem.
Metas respons
Meta bekräftade forskningsfynden och meddelade att nya skydd är på väg att rullas ut. Bolaget planerar att införa starkare anti-scraping-åtgärder och aggressivare begränsning av förfrågningar. Meta uppgav att det inte finns några bevis för att angripare utnyttjade problemet i stor skala före avslöjandet.
Användare uppmanas att begränsa synligheten för profilbilder, ”Om mig”-information och senast-sedd-inställningar. Dessa åtgärder minskar exponeringen även om framtida svagheter skulle uppstå.
Slutsats
WhatsApp-sårbarheten avslöjade ett betydande integritetsproblem i funktionen för kontaktupptäckt. Angripare kunde samla metadata, bekräfta registreringar och kartlägga användarnärvaro över stora befolkningsgrupper. Även om meddelandeinnehåll förblev skyddat visade sårbarheten hur känslig metadata kan bli när en central funktion saknar starka skydd. Metas förbättringar är ett steg framåt, men fortsatt uppmärksamhet på integritetsinställningar är avgörande för alla användare.
0 svar till ”WhatsApp-sårbarhet avslöjar användarmetadata i stor skala”