國際中心/李紹宏報導
注意了!知名通訊軟體WhatsApp長時間允許用戶透過電話號碼查詢帳號資料,如今驚爆嚴重漏洞,將近35億筆使用者資料恐被惡意蒐集,研究人員發現,問題恐出在其內建的「聯絡人比對機制」,引發全球用戶譁然。
知名通訊軟體WhatsApp驚爆史上最嚴重的資安漏洞。(圖/翻攝自WhatsApp)WhatsApp嚴重漏洞:35億筆用戶資料為何會被輕易掃走?
根據外媒《每日郵報》報導,WhatsApp 的「聯絡人比對機制」(Contact Matching Feature)是為了方便使用者將手機通訊錄中的號碼,快速與WhatsApp平台上的註冊帳號進行比對,幫助用戶找到同樣使用該軟體的親友。
然而,研究團隊發現,這項比對機制卻缺乏足夠查詢數量上限或有效的反爬蟲(Anti-Scraping)防禦機制。研究人員正是利用這個缺陷,得以極高的速度向 WhatsApp 伺服器輸入大量的電話號碼。
根據研究團隊的數據,能夠做到每小時掃描高達一億個電話號碼。透過這種不受阻擋的自動化操作,研究人員最終成功存取了來自全球 245 個國家、總計約35億筆的帳號資訊,形同繪製出一張全球 WhatsApp 用戶的資料地圖。
報導指出,儘管此漏洞擷取的資料屬於「公開資訊」,例如帳號的狀態等,但研究人員警告,大規模彙集這些中介資料(Metadata)仍會造成嚴重的後果,例如推估用戶位置、增加詐騙與攻擊風險。
端對端加密真的足以保障個資?
資安專家指出,WhatsApp的「端對端加密」,不足以保護訊息之外的中介資料。(示意圖/翻攝自iStock)對此,WhatsApp 的母公司 Meta 隨後發布聲明證實了相關問題的存在,強調訊息內容的端對端加密(End-to-End Encryption)從未遭到破壞,更表示漏洞已在第一時間完成修補。
不過資安專家強調,如果只依賴端對端加密,並不足以提供完整的個資安全防護,該方式只能保護訊息本身,但訊息的外部資料(如:Metadata)和服務相關的個資等則仍有風險。因此,專家認為,這起事件再次凸顯全球訊息服務過度集中於少數平台所帶來的巨大風險,任何單一平台上的漏洞都可能被放大為影響數十億人的全球性威脅。
最後,資安專家呼籲,科技公司在設計功能時,必須更加重視對自動化查詢的限制,並定期接受外部稽核。
5 顆 
10 顆 
15 顆 
20 顆