WhatsApp ima sigurnosni propust: podaci korisnika u opasnosti

· Sanja Ledinek

WhatsApp se oprašta od ere telefonskih brojeva nova funkcija korisničkog imena donosi veću privatnost i fleksibilnost

WhatsApp, jedna od najpopularnijih aplikacija za razmjenu poruka u svijetu, koju svakodnevno koristi više od 2 milijarde ljudi, nedavno je otkrio ozbiljan sigurnosni propust koji je izazvao međunarodnu zabrinutost. Stručnjaci su u istraživanju pokazali da ugrađeni mehanizam aplikacije, koji je prvotno služio za povezivanje telefonskih brojeva, sadrži dizajnersku grešku. Ova greška omogućila je istraživačkom timu testiranje telefonskih brojeva u velikom opsegu i povezivanje s najmanje 3,5 milijardi aktivnih WhatsApp računa. To je značajno više od službenih tvrdnji WhatsAppa o “preko 2 milijarde” korisnika.

Važno je napomenuti da ovaj propust ne ugrožava sadržaj samih poruka, jer su one i dalje zaštićene end-to-end enkripcijom, što znači da samo pošiljatelj i primatelj mogu čitati sadržaj. Međutim, ranjivost omogućava pristup metapodacima, poput informacija o postojanju računa, vezanim uređajima, vremenu posljednje aktivnosti i statusu korisnika. Ovi podaci sami po sebi nisu izravno osjetljivi, ali mogu biti zloupotrijebljeni od strane kriminalaca kako bi se stvorila slika korisnikovih navika, lokacije i online aktivnosti.

Kako je propust otkriven

Studija je provedena u suradnji sa SBA Research sa Sveučilišta u Beču, u Austriji. Istraživači su otkrili da WhatsApp koristi mehanizam za povezivanje telefonskih brojeva kako bi provjerio je li određeni broj aktivan na platformi. Izvorno je to bila jednostavna funkcija koja je trebala olakšati prijavu, no zbog nedostatka strogih ograničenja upita, ovaj mehanizam postao je ozbiljan sigurnosni rizik. Istraživači su razvili algoritam koji je mogao testirati više od 100 milijuna telefonskih brojeva u jednom satu, uz brzinu od oko 7.000 unosa u sekundi. Na taj su način mogli potvrditi koje su brojevi aktivni na WhatsAppu, čime su otkrili najmanje 3,5 milijardi aktivnih računa.

Zašto je ovo opasno

Iako poruke ostaju šifrirane, dostupni metapodaci mogu pružiti napadačima važne informacije. Na primjer, kriminalci mogu analizirati:

  • Lokaciju korisnika na temelju regije gdje se koristi telefonski broj
  • Model mobilnog telefona koji korisnik koristi
  • Vrijeme kada je račun kreiran i kada je korisnik posljednji put bio online
  • Broj uređaja povezanih s računom

Uz javne profilne slike, statusne poruke i biografske podatke, napadači mogu kombinirati ove informacije i brzo identificirati osobu. Prema studiji, 57% korisnika koristi prepoznatljive stvarne profilne slike, dok oko 30% korisnika u biografijama otkriva informacije o zanimanju, interesima, religiji ili društvenim vezama. S obzirom na dostupnost AI tehnologija i alata za prepoznavanje slika, kriminalci mogu vrlo lako povezati podatke s stvarnim identitetom korisnika, što predstavlja ozbiljan sigurnosni rizik.

WhatsAppov odgovor

WhatsApp je reagirao na izvješće i potvrdio da je ranjivost zakrpljena u suradnji s istraživačkim timom. Nitin Gupta, potpredsjednik inženjeringa WhatsAppa, izjavio je da tijekom istraživanja nije bilo dokaza o zloupotrebi ranjivosti te da su svi testirani podaci izbrisani. Ipak, stručnjaci za kibernetičku sigurnost upozoravaju da zakrpa ne znači da su korisnici potpuno sigurni. Aljosha Judmayer, istraživač sa Sveučilišta u Beču, naglasio je da iako su poruke zaštićene, informacije poput toga kada ste online, s kim komunicirate i koliko često, i dalje mogu otkriti mnogo o vašim navikama i rutini.

Kako se zaštititi

Sigurnosni stručnjaci preporučuju korisnicima da odmah poduzmu sljedeće korake kako bi smanjili rizik od zloupotrebe svojih podataka:

Privatnost profila

  • Portret (profilnu sliku) postavite tako da bude vidljiva samo vašim kontaktima
  • Osobni opis ili biografski sadržaj ograničite samo na poznate kontakte kako biste smanjili izlaganje osobnih informacija

Online status

  • Sakrijte podatke o posljednjem vremenu kada ste bili online
  • Isključite prikaz online statusa svima osim odabranim kontaktima

Grupni pristup

  • Ograničite mogućnost pridruživanja grupama samo za poznate kontakte
  • Redovito provjeravajte na kojim uređajima ste prijavljeni na WhatsApp
  • Uklonite sve nepoznate ili sumnjive uređaje, osobito ako ste skenirali QR kodove na javnim računalima

Javne fotografije i dokumenti

Izbjegavajte dijeljenje osobnih dokumenata, ulaznica, adresa ili drugih osjetljivih fotografija jer se takve informacije mogu analizirati i zloupotrijebiti za online prijevare

Zaključak

Iako WhatsApp koristi snažnu end-to-end enkripciju za zaštitu poruka, korisnici moraju biti svjesni da metapodaci i javno dostupne informacije također predstavljaju sigurnosni rizik. Ova situacija podsjeća nas da privatnost ne završava na šifriranju poruka, već uključuje i pažljivo upravljanje informacijama koje dijelimo i našim online prisustvom.

DRUGE NOVOSTI