معلومات عن الثغرة وآلياتها
كشف باحثون من جامعة فيينا وجود ثغرة في آلية “اكتشاف جهات الاتصال” داخل واتساب تسمح بتسريب بيانات ملايين الحسابات.
وصف الباحثون آلية العمل بأنها تتيح إجراء عدد هائل من الاستعلامات باستخدام دفاتر العناوين للوصول إلى أرقام هواتف وربطها بحسابات المستخدمين.
نفذوا اختباراً استخدموا فيه الآلية نفسها لإرسال أكثر من 100 مليون رقم هاتف في الساعة عبر بنية واتساب التحتية، ما سمح لهم بتأكيد وجود البيانات والوصول إلى معلومات أكثر من 3.5 مليار حساب نشط في 245 دولة.
أشار المؤلف الرئيسي للتقرير غابريال غيغنهوبر إلى أن النظام لا ينبغي أن يستجيب لعدد هائل من الطلبات في وقت واحد ومن مصدر واحد، وهذا السلوك كشف العيب الأساسي الذي سمح بقيام إرسال محدود من الطلبات للوصول إلى البيانات حول العالم.
تشمل البيانات التي تتيح الثغرة الوصول إليها معلومات مطابقة لما يتاح للمستخدمين العاديين، مثل رقم الهاتف والمفاتيح العامة والطوابع الزمنية ونص الحالة وصورة الملف الشخصي.
ومن بين هذه البيانات تمكن الباحثون من تحديد نظام تشغيل المستخدم، عمر الحساب، وعدد الأجهزة المرتبطة به.
أفاد الباحثون بأن هذه البيانات، رغم محدوديتها، مكنت من كشف أنماط المستخدمين على المستويين الفردي والجماعي.
كشفت الدراسة وجود ملايين الحسابات النشطة في دول تحظر الخدمة رسمياً مثل الصين وإيران وميانمار.
أظهر التقرير أيضاً أن 81% من مستخدمي واتساب يستخدمون هواتف أندرويد، مقابل 19% يستخدمون iOS.
وتواصل الباحثون مع شركة ميتا المالكة فتم إغلاق الثغرة بعد إبلاغهم.
أكد الباحثون أن التجربة لم تتضمن أي وصول إلى الرسائل، وأنهم لم ينشروا أو يشاركوا بيانات شخصية، وأنهم حذفوا جميع البيانات التي جمعوها قبل نشر الدراسة.
سيعرض التقرير بالكامل في ندوة أمن الشبكات والأنظمة الموزعة لعام 2026.
