WhatsApp: Μεγάλης κλίμακας κενό απορρήτου ανακάλυψαν Γερμανοί ερευνητές

Ο μηχανισμός ανακάλυψης επαφών του WhatsApp μπορεί να χρησιμοποιήσει το βιβλίο διευθύνσεων ενός χρήστη προκειμένου να βρει άλλους χρήστες του WhatsApp με βάση τον αριθμό τηλεφώνου τους. Χρησιμοποιώντας τον ίδιο υποκείμενο μηχανισμό, οι ερευνητές απέδειξαν ότι ήταν δυνατό να αναζητηθούν περισσότεροι από 100 εκατομμύρια αριθμοί τηλεφώνου ανά ώρα μέσω της υποδομής του WhatsApp, επιβεβαιώνοντας περισσότερους από 3,5 δισεκατομμύρια ενεργούς λογαριασμούς σε 245 χώρες.

«Κανονικά, ένα σύστημα δεν θα έπρεπε να ανταποκρίνεται σε τόσο μεγάλο αριθμό αιτημάτων σε τόσο σύντομο χρονικό διάστημα -ειδικά όταν προέρχονται από μία μόνο πηγή», εξηγεί ο επικεφαλής της έρευνας Γκάμπριελ Γκεγκενχούμπερ από το Πανεπιστήμιο της Βιέννης. «Αυτή η συμπεριφορά αποκάλυψε το υποκείμενο ελάττωμα, το οποίο μας επέτρεψε να εκδώσουμε ουσιαστικά απεριόριστα αιτήματα στον διακομιστή και με αυτόν τον τρόπο να αντιστοιχίσουμε δεδομένα χρηστών παγκοσμίως», προσθέτει. Τα προσβάσιμα στοιχεία δεδομένων που χρησιμοποιήθηκαν στη μελέτη είναι αυτά που είναι δημόσια για όποιον γνωρίζει τον αριθμό τηλεφώνου ενός χρήστη και αποτελούνται από: αριθμό τηλεφώνου, δημόσια κλειδιά, χρονικές σημάνσεις και, εάν οριστούν ως δημόσια, κείμενο και εικόνα προφίλ. Από αυτά τα σημεία δεδομένων, οι ερευνητές μπόρεσαν να εξαγάγουν πρόσθετες πληροφορίες, οι οποίες τους επέτρεψαν να συμπεράνουν το λειτουργικό σύστημα ενός χρήστη, την ηλικία του λογαριασμού, καθώς και τον αριθμό των συνδεδεμένων συνοδευτικών συσκευών. Η μελέτη δείχνει ότι ακόμη και αυτή η περιορισμένη ποσότητα δεδομένων ανά χρήστη μπορεί να αποκαλύψει σημαντικές πληροφορίες, τόσο σε μακροσκοπικό όσο και σε ατομικό επίπεδο.

Στο πλαίσιο της έρευνας προέκυψαν πάντως και άλλα ευρήματα, όπως το γεγονός ότι εντοπίστηκαν εκατομμύρια ενεργοί λογαριασμοί WhatsApp σε χώρες όπου η συγκεκριμένη πλατφόρμα έχει απαγορευτεί, όπως στην Κίνα, στο Ιράν και στην Μιανμάρ. Επιπλέον, καταγράφηκαν στοιχεία σχετικά με την κατανομή συσκευών Android (81%) έναντι συσκευών iOS (19%).

Η ασφάλεια και το απόρρητο δεν είναι εφάπαξ επιτεύγματα

Οι ερευνητές διευκρινίζουν πάντως ότι η μελέτη τους δεν περιελάμβανε πρόσβαση σε περιεχόμενο μηνυμάτων και ότι δεν δημοσιεύθηκαν προσωπικά δεδομένα, ενώ όλα τα ανακτημένα δεδομένα διαγράφηκαν από τους ίδιους. Διαβεβαιώνουν μάλιστα ότι το περιεχόμενο μηνυμάτων του WhatsApp είναι «κρυπτογραφημένο από άκρο σε άκρο» και δεν επηρεάστηκε σε καμία φάση της έρευνας. «Αυτή η κρυπτογράφηση από άκρο σε άκρο προστατεύει το περιεχόμενο των μηνυμάτων, αλλά όχι απαραίτητα τα σχετικά μεταδεδομένα», εξηγεί ο Αλιόσα Γιουντμάιερ, επίσης από το Πανεπιστήμιο της Βιέννης και τονίζει ότι «η εργασία μας δείχνει ότι, όταν τέτοια μεταδεδομένα συλλέγονται και αναλύονται σε μεγάλη κλίμακα, μπορούν να προκύψουν κίνδυνοι για την ιδιωτικότητα».

Η έρευνα αναδεικνύει επίσης ότι «ακόμη και ώριμα, ευρέως αξιόπιστα συστήματα, μπορεί να έχουν αδύναμα σημεία σχεδιασμού ή υλοποίησης που έχουν συνέπειες στον πραγματικό κόσμο. Δείχνουν ότι η ασφάλεια και το απόρρητο δεν είναι εφάπαξ επιτεύγματα, αλλά πρέπει να επαναξιολογούνται συνεχώς καθώς η τεχνολογία εξελίσσεται», υπογραμμίζει ο κ. Γκεγκενχούμπερ.

Από την πλευρά της Meta, ο επικεφαλής των μηχανικών του WhatsApp Νίτιν Γκούπτα εξέφρασε την ευγνωμοσύνη της εταιρίας στους ερευνητές του Πανεπιστημίου της Βιέννης, επισημαίνοντας ότι η πλατφόρμα εργαζόταν ήδη κατά της συλλογής δεδομένων. Διαβεβαίωσε επίσης ότι οι ερευνητές έχουν διαγράψει με ασφάλεια τα δεδομένα που συλλέχθηκαν στο πλαίσιο της έρευνας και ότι τα μηνύματα των χρηστών παρέμειναν ιδιωτικά και ασφαλή χάρη στην κρυπτογράφηση της πλατφόρμας. Επιπλέον, η έρευνα διεξήχθη με αυστηρές ηθικές οδηγίες και τα ευρήματά της κοινοποιήθηκαν άμεσα στο WhatsApp, το οποίο έχει έκτοτε εφαρμόσει αντίμετρα προκειμένου να κλείσει το κενό ασφαλείας που εντοπίστηκε.

Πηγή: Ethnos.gr