كشف باحثون من جامعة فيينا وSBA Research عن وجود ثغرة خطيرة في تطبيق واتساب يمكن استغلالها لجمع ملايين أرقام الهواتف خلال وقت قصير، إلى جانب استخراج معلومات شخصية عن أصحابها دون علمهم.
وأوضح الفريق البحثي أن واتساب يعتمد على ميزة فحص جهات الاتصال لمعرفة الأرقام المسجلة على التطبيق، لكن هذه الآلية يمكن التحايل عليها لرصد مئات الملايين من الأرقام خلال ساعة واحدة فقط، مع تحديد المستخدمين النشطين وسحب بيانات متاحة للعامة. وقد تم إبلاغ شركة ميتا بالثغرة، التي أكدت بدورها أنها تعمل على إصلاحها وتقليل تأثيرها.
واعتمد الباحثون على بيانات بسيطة مثل رقم الهاتف، بعض المفاتيح التقنية، أوقات الظهور، وصورة الحساب (إذا كانت علنية). ورغم محدودية هذه المعلومات، تمكّن الفريق من استخلاص تفاصيل إضافية، أبرزها نوع الهاتف المستخدم، أندرويد أو آيفون، عمر الحساب، عدد الأجهزة المرتبطة بالحساب
وتشير الدراسة إلى أن هذه البيانات الظاهرية قادرة على كشف الكثير عن المستخدمين على المستويين الفردي والجماعي.
كما توصل الباحثون إلى معطيات أوسع، من بينها وجود ملايين الحسابات النشطة في دول يُحظر فيها واتساب رسميًا، مثل الصين وإيران وميانمار، وأنماط عالمية لاستخدام الأجهزة: 81% أندرويد مقابل 19% آيفون، مع اختلافات واضحة في مستوى خصوصية المستخدمين، مثل إظهار صورة الحساب.
كما تم رصد حالات قليلة لإعادة استخدام مفاتيح التشفير ذاتها على أجهزة أو أرقام مختلفة، ما قد يشير إلى مشكلات في النسخ غير الرسمية للتطبيق أو استخدامات غير قانونية.، وحوالي نصف أرقام الهواتف التي ظهرت في تسريب فيسبوك عام 2021 ما تزال نشطة على واتساب، ما يرفع احتمالات استهداف أصحابها في عمليات احتيال أو مضايقات.
وأكدت الدراسة أن محتوى رسائل واتساب لم يتعرض لأي اختراق، إذ يستمر حماية المحادثات عبر التشفير التام بين الطرفين. غير أن هذا التشفير لا يشمل البيانات الخارجية المرافقة للرسائل، مثل أوقات الاستخدام أو نوع الجهاز.
وأشار الباحثون إلى أن مهندسي ميتا تعاونوا معهم في التحقيقات، مؤكدين أنه لا توجد أي دلائل على استغلال هذه الثغرة من قبل جهات مشبوهة، وأن بيانات المستخدمين الخاصة لم تتعرض لأي اختراق خارج نطاق المعلومات المتاحة علنًا.
