Lỗ Hổng WhatsApp Khiến Hàng Tỷ Số Điện Thoại Và Ảnh Đại Diện Bị Lộ

Bằng cách nhập hàng chục tỷ số điện thoại vào công cụ khám phá liên hệ của WhatsApp, các nhà nghiên cứu đã phát hiện "vụ lộ số điện thoại rộng rãi nhất" từ trước đến nay - cùng với ảnh đại diện và nhiều thông tin khác.

Việc WhatsApp được chấp nhận rộng rãi một phần xuất phát từ việc tìm kiếm liên hệ mới trên nền tảng nhắn tin này dễ dàng như thế nào: Thêm số điện thoại của ai đó, và WhatsApp ngay lập tức hiển thị liệu họ có sử dụng dịch vụ hay không, và thường cả ảnh đại diện và tên của họ nữa.

Lặp lại thủ thuật tương tự vài tỷ lần với mọi số điện thoại có thể, hóa ra, cùng một tính năng cũng có thể phục vụ như một cách thuận tiện để có được số di động của hầu như mọi người dùng WhatsApp trên trái đất - cùng với, trong nhiều trường hợp, ảnh đại diện và văn bản xác định từng người dùng đó. Kết quả là sự lộ thông tin cá nhân rộng rãi cho một phần đáng kể dân số thế giới.

Một nhóm nhà nghiên cứu Áo hiện đã chứng minh rằng họ có thể sử dụng phương pháp đơn giản đó để kiểm tra mọi số có thể trong khám phá liên hệ của WhatsApp để trích xuất số điện thoại của 3,5 tỷ người dùng từ dịch vụ nhắn tin. Đối với khoảng 57% những người dùng đó, họ cũng thấy rằng họ có thể truy cập ảnh đại diện của họ, và đối với 29% khác, văn bản trên hồ sơ của họ. Mặc dù có cảnh báo trước đó về việc WhatsApp lộ dữ liệu này từ một nhà nghiên cứu khác vào năm 2017, họ nói, công ty mẹ của dịch vụ, Meta, vẫn không giới hạn tốc độ hoặc số lượng yêu cầu khám phá liên hệ mà các nhà nghiên cứu có thể thực hiện bằng cách tương tác với ứng dụng dựa trên trình duyệt của WhatsApp, cho phép họ kiểm tra khoảng một trăm triệu số mỗi giờ.

Kết quả sẽ là "vụ rò rỉ dữ liệu lớn nhất trong lịch sử, nếu nó không được thu thập như một phần của nghiên cứu được tiến hành có trách nhiệm," như các nhà nghiên cứu mô tả trong một bài báo ghi lại phát hiện của họ.

"Theo hiểu biết tốt nhất của chúng tôi, điều này đánh dấu vụ lộ số điện thoại và dữ liệu người dùng liên quan rộng rãi nhất từng được ghi nhận," Aljosha Judmayer, một trong những nhà nghiên cứu tại Đại học Vienna làm việc trong nghiên cứu này, nói.

Các nhà nghiên cứu cho biết họ đã cảnh báo Meta về phát hiện của mình vào tháng 4 và xóa bản sao 3,5 tỷ số điện thoại của họ. Đến tháng 10, công ty đã khắc phục vấn đề liệt kê bằng cách ban hành biện pháp "giới hạn tốc độ" nghiêm ngặt hơn ngăn chặn phương pháp khám phá liên hệ quy mô lớn mà các nhà nghiên cứu đã sử dụng. Nhưng cho đến lúc đó, việc lộ dữ liệu cũng có thể bị khai thác bởi bất kỳ ai khác sử dụng kỹ thuật cạo dữ liệu tương tự, Max Günther, một nhà nghiên cứu khác từ trường đại học đồng viết bài báo, thêm. "Nếu điều này có thể được chúng tôi lấy siêu dễ dàng, những người khác cũng có thể làm tương tự," ông nói.

Trong một tuyên bố với WIRED, Meta cảm ơn các nhà nghiên cứu, những người đã báo cáo khám phá của họ thông qua hệ thống "bug bounty" của Meta, và mô tả dữ liệu bị lộ là "thông tin công khai cơ bản," vì ảnh đại diện và văn bản không bị lộ đối với người dùng chọn làm riêng tư. "Chúng tôi đã làm việc trên các hệ thống chống cạo dữ liệu hàng đầu ngành, và nghiên cứu này đã hữu ích trong việc kiểm tra căng thẳng và xác nhận hiệu quả tức thì của những biện pháp phòng thủ mới này," Nitin Gupta, phó chủ tịch kỹ thuật tại WhatsApp, viết. Gupta thêm, "Chúng tôi không tìm thấy bằng chứng nào về các tác nhân độc hại lạm dụng vector này. Như một lời nhắc nhở, tin nhắn người dùng vẫn riêng tư và an toàn nhờ mã hóa đầu cuối đến đầu cuối mặc định của WhatsApp, và không có dữ liệu không công khai nào có thể truy cập được đối với các nhà nghiên cứu."

Mặc dù mô tả của Meta, các nhà nghiên cứu nói họ không vượt qua hoặc thậm chí gặp phải bất kỳ "biện pháp phòng thủ" nào trong việc thu thập số điện thoại. Công việc của họ cũng không phải lần đầu tiên WhatsApp được cảnh báo về việc lộ số điện thoại và dữ liệu hồ sơ liên quan. Đúng tám năm trước, vào năm 2017, nhà nghiên cứu Hà Lan Loran Kloeze đã viết một bài blog chỉ ra rằng kỹ thuật liệt kê số điện thoại là có thể và nó có thể được sử dụng để có được số điện thoại, ảnh đại diện, và cả thời gian khi người dùng trực tuyến.

Kloeze mô tả một kịch bản trong đó việc lộ dữ liệu có thể được kết hợp với nhận dạng khuôn mặt để tạo ra một cơ sở dữ liệu khổng lồ thông tin nhận dạng cá nhân. "Bây giờ điều đó khá đáng sợ, phải không?" ông viết. Meta, lúc đó là Facebook, đã phản hồi phát hiện của ông, lập luận rằng cài đặt quyền riêng tư của WhatsApp vẫn hoạt động như được thiết kế - người dùng có thể chọn làm cho thông tin hồ sơ của họ chỉ có thể truy cập được đối với các liên hệ được chọn của họ - và thậm chí nói với ông rằng ông không đủ điều kiện nhận phần thưởng bug bounty cho công việc của mình vào thời điểm đó.

Khi WIRED hỏi Meta về các biện pháp giới hạn tốc độ nào nó đã thiết lập trong tám năm qua để ngăn chặn kỹ thuật mà Kloeze đã chứng minh, công ty phản hồi rằng nó thực sự đã triển khai các biện pháp phòng thủ phát triển chống lại những kẻ cạo dữ liệu, bao gồm giới hạn tốc độ và kỹ thuật học máy để cấm những kẻ cạo dữ liệu. Tuy nhiên, các nhà nghiên cứu Đại học Vienna không chỉ có thể sao chép công việc của Kloeze, mà còn đi xa hơn, thực sự liệt kê tất cả 3,5 tỷ số điện thoại WhatsApp đã đăng ký - nhiều hơn nhiều so với dịch vụ có vào năm 2017.

Họ cũng giải quyết lập luận của WhatsApp về cài đặt quyền riêng tư bằng cách đo lường có bao nhiêu người dùng công khai lộ thông tin cá nhân trong hồ sơ của họ, chia nhỏ kết quả theo quốc gia. Họ thấy rằng 44% trong số 137 triệu số điện thoại họ thu thập cho người Mỹ hiển thị ảnh, và 33% hiển thị văn bản "giới thiệu" công khai, chẳng hạn.

Đối với các quốc gia nơi WhatsApp được sử dụng rộng rãi hơn, một phần nhỏ hơn dân số bật cài đặt quyền riêng tư: Ở Ấn Độ, nơi các nhà nghiên cứu đếm được gần 750 triệu số, 62% tài khoản hiển thị công khai ảnh đại diện. Đối với 206 triệu số Brazil họ tìm thấy, 61% có ảnh đại diện bị lộ.

Các nhà nghiên cứu Đại học Vienna tình cờ phát hiện vấn đề liệt kê số điện thoại của WhatsApp năm ngoái, khi họ đang thử nghiệm những gì họ có thể học được từ dịch vụ về người dùng mặc dù có mã hóa đầu cuối đến đầu cuối cho tin nhắn, chẳng hạn như thời gian khi người dùng kết nối từ ứng dụng desktop so với ứng dụng di động. Họ thấy rằng ứng dụng dường như không có bất kỳ bảo vệ giới hạn tốc độ rõ ràng nào, vì vậy họ thử đơn giản liệt kê tất cả số Mỹ. "Trong nửa giờ, chúng tôi có khoảng 30 triệu số có trụ sở tại Mỹ," Gabriel Gegenhuber, một trong những nhà nghiên cứu Đại học Vienna, nói. "Vì vậy chúng tôi hơi ngạc nhiên. Và sau đó chúng tôi chỉ tiếp tục."

Một khán giả quan tâm đến dữ liệu số điện thoại bị lộ, các nhà nghiên cứu chỉ ra, sẽ là những kẻ lừa đảo và spammer đang tìm kiếm cơ sở dữ liệu các mục tiêu tiềm năng. Nhưng các nhà nghiên cứu cũng tìm thấy hàng triệu số điện thoại đăng ký WhatsApp ở các quốc gia nơi nó bị cấm chính thức, bao gồm 2,3 triệu ở Trung Quốc và 1,6 triệu ở Myanmar. Chính phủ các quốc gia đó có thể đã sử dụng việc lộ của WhatsApp để thu thập những số đó và truy lùng người dùng ứng dụng bất hợp pháp, các nhà nghiên cứu chỉ ra. Người Hồi giáo ở Trung Quốc, theo một số báo cáo, đã bị giam giữ chỉ vì cài đặt WhatsApp trên điện thoại của họ.

Các nhà nghiên cứu Đại học Vienna cũng phân tích các khóa mật mã cho 3,5 tỷ tài khoản họ tìm thấy bị lộ thông qua phương pháp liệt kê của họ, các chuỗi ký tự dài được sử dụng để nhận tin nhắn được mã hóa trong giao thức mã hóa đầu cuối đến đầu cuối của WhatsApp. Họ thấy rằng một số lượng đáng ngạc nhiên tài khoản sử dụng khóa trùng lặp - một vấn đề bảo mật vì bất kỳ ai có cùng khóa với người dùng khác cũng sẽ có thể giải mã tin nhắn được gửi cho họ.

Một số khóa được tái sử dụng hàng trăm lần, họ thấy, và 20 số Mỹ sử dụng khóa toàn số không, kỳ lạ. Tuy nhiên, các nhà nghiên cứu suy đoán rằng việc trùng lặp khóa có thể là kết quả của các client WhatsApp không được ủy quyền, thay vì lỗi trong chính WhatsApp. Khi kiểm tra kỹ hơn một số tài khoản có khóa mật mã lặp lại, họ cũng lưu ý rằng chúng trông giống như tài khoản lừa đảo, cho thấy một số hoạt động lừa đảo khai thác WhatsApp có thể sử dụng client với tính năng mã hóa bị hỏng.

Ngoài việc thiếu giới hạn tốc độ, các nhà nghiên cứu lập luận rằng phát hiện của họ chỉ ra một vấn đề cơ bản hơn với các dịch vụ như WhatsApp: Số điện thoại, họ nói, thực sự không có đủ tính ngẫu nhiên để được sử dụng làm định danh duy nhất cho một dịch vụ có hàng tỷ người dùng. Điều đó để lại giới hạn tốc độ như biện pháp duy nhất có sẵn để ngăn chặn dữ liệu người dùng bị cạo hàng loạt, và một biện pháp sẽ không bao giờ hoàn toàn an toàn chống lại rò rỉ quyền riêng tư nếu WhatsApp ưu tiên khám phá liên hệ thuận tiện cho người dùng. (WhatsApp thực sự đã bắt đầu thử nghiệm tính năng tên người dùng trong beta, có thể cung cấp cách tiếp cận tốt hơn cho quyền riêng tư.)

"Số điện thoại không được thiết kế để sử dụng làm định danh bí mật cho tài khoản, nhưng đó là cách chúng được sử dụng trong thực tế,"

Judmayer nói. "Nếu bạn có một dịch vụ lớn được sử dụng bởi hơn một phần ba dân số thế giới, và đây là cơ chế khám phá, đó là một vấn đề."

Bình luận (loading...)