Viyana’daki bilim insanları, dünya genelinde milyarlarca kullanıcıyı etkileyen büyük bir WhatsApp güvenlik açığı tespit etti. Üniversite açıklamasına göre araştırmacılar, uygulamanın “kişi bulma işlemi” sırasında kullanılan yapıda bulunan bir açık sayesinde 3,5 milyar hesabı doğrulamayı başardı.
Yetkililer, bildirimin ardından açığın Meta tarafından kapatıldığını duyurdu.
Telefon numaraları saniyeler içinde tarandı
WhatsApp, yeni bir telefon numarası rehbere kaydedildiğinde, bu numara üzerinden WhatsApp kullanılıp kullanılmadığını otomatik olarak denetliyor. Bu arka plan eşleştirmesinde yer alan güvenlik açığı sayesinde Viyana’daki araştırma ekibi, saniyeler içinde on binlerce numarayı sorgulayabildi.
Araştırmacılar, saatte 100 milyon telefon numarasını tarayarak toplamda 3,5 milyardan fazla hesabı doğruladı. Bu sayı, dünya genelindeki WhatsApp kullanıcılarının büyük bölümünü kapsıyor.
Profil bilgileri ve zaman damgaları da görülebildi
Güvenlik açığı üzerinden elde edilen bilgiler arasında:
- telefon numarası,
- şifreleme için kullanılan açık anahtarlar,
- hesap oluşturma zamanı,
- WhatsApp Web gibi ek bağlı cihaz bilgileri,
- kullanıcının açık olarak belirlediği profil fotoğrafı ve “hakkında” metni gibi veriler yer aldı. Bilim insanları, bu verileri kullanarak kullanıcıların işletim sistemi türüne ve hesap yaşına ilişkin ek tahminlerde de bulundu.
Yasaklanan ülkelerde milyonlarca hesap tespit edildi
Araştırma, WhatsApp’ın yasak olduğu Çin, İran ve Myanmar gibi ülkelerde bile milyonlarca aktif hesabın bulunduğunu ortaya koydu.
Ayrıca, 2021’deki büyük Facebook veri sızıntısında ortaya çıkan telefon numaralarının neredeyse yarısının hâlâ aktif WhatsApp hesaplarına bağlı olduğu belirlendi. Bu durumun, kullanıcıların dolandırıcılık aramalarına maruz kalma riskini artırdığı vurgulandı.
Mesaj içeriğine erişilmedi
Bilim insanları, uçtan uca korunan mesaj içeriklerine kesinlikle erişmediklerini, sadece teknik metadataları analiz ettiklerini açıkladı. Elde edilen tüm veriler çalışmanın yayımlanmasından önce silindi.
Geniş çaplı metaveri toplamanın riskleri
Uzmanlar, uçtan uca korumanın mesajları güvenli tuttuğunu, ancak metadataların yeterince korunmaması halinde kullanıcıların yine de izlenebilir hâle gelebileceğini belirtti.