استخراج شماره ی 3.5 میلیارد اکانت واتساپ + وضعیت ایران

زمان مطالعه: 5 دقیقه

یکی از مزیتهایی که واتساپ داره اینِ که اگه دنبال یک نفر باشیم، کافیِ شماره‌اش رو اضافه کنیم. واتساپ بلافاصله نشان میده که آیا این فرد در این سرویس حضور داره یا نه و معمولا عکس پروفایل و نام رو هم نمایش میده.

اگر همین ترفند رو چند میلیارد بار با تمام شماره های ممکن تکرار کنید، مشخص میشه که همین قابلیت میتونه بعنوان راهی ساده برای بدست آوردن شماره‌ی موبایل تقریبا تمام کاربران واتساپ در دنیا، بهمراه عکس پروفایل و متن هایی که در پروفایل قرار میدن، استفاده بشه. نتیجه، افشا شدن گسترده اطلاعات شخصیِ بخش عظیمی از جمعیت جهان است.

حالا محققای دانشگاه وین و SBA Research نشان دادن که تونستن با همین روش ساده‌، شماره‌ی تلفن ۳.۵ میلیارد کاربر واتساپ رو استخراج کنن. برای حدود ۵۷ درصد از این کاربران، تونستن عکس پروفایل رو هم بدست بیارن و برای ۲۹ درصد دیگه، متن پروفایل رو هم بدست آوردن.

 

 

با وجود هشدار یک محقق امنیتی دیگه در سال ۲۰۱۷ درباره‌ی همین موضوع، شرکت متا، همچنان سرعت و تعداد درخواستهایی رو که میشه از طریق نسخه‌ی وب واتساپ ارسال کرد رو، محدود نکرده و به محققا اجازه داده، حدود ۱۰۰ میلیون شماره در ساعت رو بررسی کنن.

به گفته‌ی محققا، این نتیجه اگه در قالب یک تحقیق مسئولانه جمع‌آوری نشده بود، میتونست بزرگترین نشت داده در تاریخ باشه.

Aljosha Judmayer، یکی از محققان دانشگاه وین گفته: تا جاییکه ما میدونیم، این گسترده‌ترین افشای شماره‌های تلفن و داده‌های مرتبط با کاربران است که تاکنون ثبت شده.

محققا گفتن در آوریل این موضوع رو به متا اطلاع دادن و نسخه‌ی خودشون از داده‌های ۳.۵ میلیارد شماره رو حذف کردن. تا ماه اکتبر، متا با اعمال محدودیت سختگیرانه‌تر در تعداد درخواستها، مشکل شمارش انبوه رو رفع کرده. اما تا قبل از اون، هر فرد دیگه ای هم میتونست با همین روش اسکرپینگ (Scraping)، این داده‌ها رو جمع‌ آوری کنه.

متا از محققا تشکر کرده، چون گزارش رو از طریق برنامه ی باگ بانتی ارسال کردن و داده‌های افشا شده رو اطلاعات در دسترس عمومی توصیف کرده، چون کاربرا میتونستن عکس و متن پروفایل رو خصوصی کنن.

متا همچنین اعلام کرده که هیچ مدرکی درباره‌ی سوء استفاده مهاجمان وجود نداره و پیامهای کاربران همچنان به‌ لطف رمزگذاری سرتاسری ایمن بودن.

با وجود گفته‌های متا، محققا گفتن که در استخراج این شماره‌ها نه به مکانیزم دفاعی‌ای برخورد کردن و نه چیزی رو دور زدن.

این نخستین بار هم نبود که به واتساپ درباره افشای شماره‌ها هشدار داده شده. در سال ۲۰۱۷، محقق هلندی Loran Kloeze در وبلاگی توضیح داده بود که این تکنیک شمارش شماره‌ها، امکانپذیر است و میشه با اون شماره‌ها، عکس پروفایلها و حتی زمان آنلاین بودن کاربران رو دریافت کرد. ایشون گفته بود که این داده‌ها میشه با تشخیص چهره ترکیب بشن و به دیتابیس عظیمی از اطلاعات هویتی تبدیل بشن.

متا که اون زمان فیسبوک بود، گفت این موضوع یک اشکال امنیتی محسوب نمیشه و کاربران میتونن تنظیمات حریم خصوصی خودشون رو تغییر بدن. حتی به Loran گفتن که واجد شرایط دریافت جایزه باگ بانتی هم نیست.

متا در خصوص اینکه طی این هشت سال چه اقداماتی برای محدود کردن این تکنیک انجام داده، گفته که ابزارهای مختلفی برای مقابله با اسکرپینگ توسعه داده، از جمله محدودسازی نرخ درخواستها و سامانه‌های مبتنی بر یادگیری ماشین. اما محققای دانشگاه وین نه‌ تنها کار Loran رو بازتولید کردن بلکه اون رو به سطحی بسیار گسترده‌تری رسوندن و تونستن تمام ۳.۵ میلیارد شماره‌ی ثبت‌ شده در واتساپ رو شمارش کنن.

محققا همچنین بررسی کردن که در هر کشور چند درصد کاربران اطلاعات پروفایل رو عمومی کردن. برای مثال، از میان ۱۳۷ میلیون شماره‌ی آمریکایی، ۴۴ درصد عکس پروفایل و ۳۳ درصد متن پروفایل رو عمومی کردن.

این محققا سال گذشته زمانی به مشکل شمارش شماره‌ها برخوردن که درحال بررسی داده‌هایی بودن که میشه بدون شکستن رمزگذاری، از واتساپ بدست آورد، مثلا زمان اتصال کاربران از نسخه موبایل یا دسکتاپ. اونا مشاهده کردن که هیچ محدودیتی برای سرعت درخواستها وجود نداره، بنابراین شروع به شمارش شماره‌های آمریکا کردن.

یکی از مخاطبان بالقوه این داده‌های افشا شده، کلاهبرداران و اسپمرها هستن که همیشه بدنبال پایگاه هدف میگردن.

محققا همچنین میلیونها شماره واتساپ رو در کشورهایی پیدا کردن که استفاده از این برنامه در اونا ممنوعه ، مانند ۲.۳ میلیون شماره در چین و ۱.۶ میلیون در میانمار. دولتهای این کشورها میتونستن از این افشاگری برای شناسایی کاربران غیرقانونی استفاده کنن. طبق برخی گزارشها، مسلمانان در چین تنها بخاطر داشتن واتساپ بازداشت شدن.

محققا همچنین کلیدهای رمزنگاری ۳.۵ میلیارد حساب رو هم بررسی کردن، کلیدهایی که برای دریافت پیامهای رمزگذاری‌ شده استفاده میشه.

واتساپ برای ارتباطات، از کلیدهای عمومی و خصوصی استفاده میکنه:

• کلید خصوصی (Private Key): فقط روی گوشی کاربر ذخیره میشه و هرگز برای کسی ارسال نمیشه و برای رمزگشایی پیامهایی که دریافت میکنید، استفاده میشه.
• کلید عمومی (Public Key): برای همه قابل مشاهده است و واتساپ هنگام افزودن یک مخاطب، این کلید عمومی رو بین کاربران ردوبدل میکنه. این کلید برای رمزگذاری پیامها استفاده میشه. بقیه با استفاده از کلید عمومی شما میتونن پیامهایی بفرستن که فقط گوشی شما با کلید خصوصی اون رو باز کنه.

واتساپ برای هر حساب یک کلید عمومی اصلی منتشر میکنه که به اون Identity Key یا Public Identity Key میگه. این کلید عمومی ازطریق سرور واتساپ به بقیه کاربران داده میشه تا بتونن پیام رو برای شما رمزگذاری کنن. این کلید کاملا عمومی است و ماهیتا باید قابل‌ دسترس باشه .

محققا متوجه شدن که تعداد قابل‌ توجهی از اکانتها از کلیدهای تکراری استفاده کردن، که یک ضعف امنیتی جدی است. چون هرکسی که همین کلید رو داشته باشه، میتونه پیام‌ها رو رمزگشایی کنه. برخی کلیدها صدها بار تکرار شده بودن و حتی ۲۰ شماره آمریکایی کلیدی داشتن که کاملا صفر بوده. محققا حدس میزنن که احتمالا این مسئله بدلیل استفاده از کلاینتهای غیررسمی واتساپ باشه، نه مشکل در خود واتساپ. برخی از این اکانتها هم مشکوک به فعالیتهای کلاهبرداری بودن.

علاوه بر مشکلات محدودسازی نرخ درخواستها، محققا گفتن که مشکل اساسی اینِ که شماره تلفنها در واقع به اندازه کافی تصادفی نیستن که به عنوان یک شناسه منحصر به فرد برای سرویسی با میلیاردها کاربر استفاده بشن. این امر باعث میشه که محدود کردن نرخ به عنوان تنها اقدام موجود برای جلوگیری از سرقت گسترده داده‌های کاربر باقی بمونه و اگه واتساپ اولویت رو به کشف راحت مخاطب برای کاربران بده، هرگز در برابر نشت حریم خصوصی کاملا ایمن نخواهد بود. اخیرا واتساپ ویژگی نام کاربری رو در نسخه بتا شروع کرده که ممکنِ رویکرد بهتری به حریم خصوصی ارائه بده.

Judmayer گفته: شماره تلفنها برای استفاده به عنوان شناسه مخفی برای حسابها طراحی نشدن، اما در عمل اینگونه استفاده میشن. اگه سرویس بزرگی داری که بیش از یک سوم جمعیت جهان از اون استفاده میکنن و این مکانیسم کشفه، این یک مشکل هستش.

 

تحلیل داده های کاربران ایرانی:

محققا برای تحقیقات خودشون گزارشی منتشر کردن که بخشی از اون آمار مربوط به داده های استخراج شده به تفکیک کشورها هستش.

اگر در این داده ها، کشور ایران رو بررسی کنیم:

• ایران در مجموع 64,945,192 کاربر واتساپ داره.
• اگه کل کاربران رو 3.5 میلیارد در نظر بگیریم، ایران سهم 1.88 درصدی داره.
• در ایران به ازای هر 100 نفر، 72.08 نفر کاربر واتساپ هستن. این نشون دهنده ی درصد نفوذ واتساپ در ایران است.
• 76.24 درصد کاربران از اندروید و 23.76 درصد کاربرا از IOS استفاده میکنن.
• محققا تونستن تصویر پروفایل 53.58 درصد از کاربران ایرانی رو بدست بیارن.
• محققا تونستن متن پروفایل، 23.10 درصد از کاربران ایرانی رو بدست بیارن.
• 9.05 درصد از کاربران ایرانی، از WhatsApp Business استفاده میکنن.
• 1.55 درصد از کاربران ایرانی، قابلیت Companion Device / Linked Devices رو فعال کردن.

 

 

منبع