Një grup studiuesish të sigurisë informatike nga Universiteti i Vjenës dhe SBA Research kanë zbuluar një dobësi të përmasave të mëdha në mekanizmin e kërkimit të kontakteve të WhatsApp, e cila ka lejuar identifikimin e 3.5 miliardë llogarive aktive në mbarë botën. Gjetjet u raportuan menjëherë tek Meta, e cila ka marrë masa për të zbutur problemin, ndërsa parapublikimi i studimit është tashmë online dhe rezultatet do të prezantohen në vitin 2026 në konferencën prestigjioze NDSS.
Si u zbulua dobësia?
WhatsApp përdor librin e adresave të përdoruesit për të identifikuar kontakte të tjerë që përdorin aplikacionin, bazuar vetëm në numrin e telefonit. Studiuesit zbuluan se e njëjta logjikë mund të përdorej për të dërguar më shumë se 100 milionë kërkesa në orë, duke verifikuar ekzistencën e llogarive në 245 vende.
“Një sistem nuk duhet të përgjigjet ndaj kaq shumë kërkesave nga një burim i vetëm. Pikërisht kjo na lejoi të hartonim globalisht të dhënat e përdoruesve,” shpjegon Gabriel Gegenhuber, autori kryesor i studimit.
Në thelb, serverët e WhatsApp i përgjigjeshin në mënyrë të pakufizuar kërkesave të verifikimit, duke krijuar një mundësi që çdo aktor – me mjaftueshëm kapacitet teknik – të ndërtonte një inventar global përdoruesish.
Çfarë informacioni u zbulua?
Të dhënat e aksesueshme nuk përfshinin përmbajtje mesazhesh. Ato ishin të njëjtat që mund të shihen publikisht për këdo që di numrin e dikujt:
• numri i telefonit
• çelësat publikë
• shënimet kohore
• fotografia dhe statusi “About”, nëse janë publike.
Por kjo sasi minimale të dhënash rezultoi e mjaftueshme për të nxjerrë informacione të tjera:
• sistemin operativ (Android apo iOS),
• moshën e llogarisë,
• numrin e pajisjeve të lidhura.
Sipas studiuesve, edhe këto metadata tregojnë sa e prekshme mund të jetë privatësia e përdoruesve kur informacioni analizohet në masë.
Gjetje të tjera alarmuese
Studimi identifikoi tendenca dhe fenomene të rëndësishme globale:
• Miliona përdorues aktivë të WhatsApp u zbuluan në vende ku platforma është e ndaluar, si Kina, Irani dhe Myanmari.
• 81% e përdoruesve globalë janë në Android, ndërsa 19% në iOS.
• U dalluan dallime rajonale në sjelljen e privatësisë, si përdorimi i fotografisë së profilit apo mesazhit “About”.
• Në disa raste u gjet rishfrytëzim i çelësave kriptografikë, një sinjal i qartë për përdorim të klientëve jozyrtarë ose aplikacioneve pirate të WhatsApp.
• Gati gjysma e numrave të rrjedhur në skandalin e Facebook në 2021 vazhdojnë të jenë aktive në WhatsApp, duke shtuar rreziqet e mashtrimeve dhe thirrjeve të padëshiruara.
WhatsApp: mesazhet ishin të sigurta
Meta thekson se përmbajtja e mesazheve, falë enkriptimit “end-to-end”, ka qenë gjithmonë e mbrojtur. Dobësia prekte vetëm metadata dhe të dhëna publike.
“Ne nuk kemi gjetur prova që aktorë keqdashës ta kenë shfrytëzuar këtë teknikë,” deklaroi Nitin Gupta, zv.president i inxhinierisë në WhatsApp.
Ai konfirmoi se Meta ka zbatuar masa të reja kundër scraping-ut, si kufizimi i kërkesave dhe reduktimi i dukshmërisë së informacionit publik të profilit.
Të gjitha të dhënat e mbledhura nga studiuesit janë fshirë para publikimit.
Pse ka rëndësi ky studim?
Studiuesit e Vjenës e kanë ndjekur prej vitesh sigurinë e platformave të mesazherisë së çastit. Më herët, ata zbuluan:
• mënyra për të monitoruar sjelljen online të përdoruesve përmes “silent delivery receipts”,
• dobësi në shpërndarjen e çelësave të WhatsApp (“prekeys”).
Studimi i ri, “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”, shënon hapat më të rëndësishëm në kuptimin e rreziqeve që vijnë nga mënyra si dizajnohen dhe funksionojnë shërbimet e mesazherisë.
“Edhe sistemet më të mëdha dhe më të besuara kanë dobësi që duhen adresuar vazhdimisht,” thotë Gegenhuber.
Studiuesit theksojnë se transparenca, kërkimi i pavarur dhe bashkëpunimi me industrinë janë thelbësorë për mbrojtjen e privatësisë së miliarda përdoruesve që mbështeten tek platformat e komunikimit çdo ditë.
