Μεγάλης κλίμακας παραβίαση ιδιωτικότητας στο WhatsApp
Μια σοβαρή αδυναμία προστασίας προσωπικών δεδομένων στην πλατφόρμα WhatsApp αποκάλυψε ερευνητική ομάδα του Πανεπιστημίου της Βιέννης σε συνεργασία με το αυστριακό κέντρο SBA Research. Η συγκεκριμένη αδυναμία επέτρεπε την επιβεβαίωση 3,5 δισεκατομμυρίων λογαριασμών χρηστών από 245 χώρες, αξιοποιώντας μόνο τα δημόσια διαθέσιμα μεταδεδομένα. Η Meta, ιδιοκτήτρια εταιρεία του WhatsApp, συνεργάστηκε με τους ερευνητές και έχει ήδη προχωρήσει σε διορθωτικές ενέργειες ώστε να περιορίσει τη διαρροή.
Σύμφωνα με την ανακοίνωση του Πανεπιστημίου της Βιέννης, το κενό ασφαλείας εντοπίστηκε στον μηχανισμό ανακάλυψης επαφών, ο οποίος χρησιμοποιεί τα στοιχεία του τηλεφωνικού βιβλίου για την ταυτοποίηση χρηστών της πλατφόρμας. Η ερευνητική ομάδα δοκίμασε τη λειτουργία αυτή σε μεγάλη κλίμακα και απέδειξε πως μπορούσε να καταχωρήσει αναζητήσεις για περισσότερους από 100 εκατομμύρια αριθμούς τηλεφώνου ανά ώρα, δημιουργώντας έναν πρωτοφανή όγκο επιβεβαιωμένων λογαριασμών.
Ο επικεφαλής της έρευνας, Γκάμπριελ Γκεγκενχούμπερ, εξήγησε ότι ένα σύστημα επικοινωνίας αυτής της κλίμακας δεν θα έπρεπε να ανταποκρίνεται σε τόσο μεγάλο αριθμό αιτημάτων, ειδικά όταν αυτά προέρχονται από έναν και μόνο χρήστη ή υπολογιστή. Η συμπεριφορά αυτή αποκάλυψε ένα κρίσιμο ελάττωμα στον σχεδιασμό, επιτρέποντας την έκδοση πρακτικά απεριόριστων αιτημάτων προς τον διακομιστή του WhatsApp.
Τα δεδομένα που ήταν προσβάσιμα αφορούσαν αριθμούς τηλεφώνου, δημόσια κλειδιά κρυπτογράφησης, χρονοσφραγίδες, καθώς και φωτογραφίες ή κείμενα προφίλ, υπό την προϋπόθεση ότι είχαν οριστεί ως δημόσια από τους ίδιους τους χρήστες. Με αυτά τα στοιχεία, οι ερευνητές μπόρεσαν να αντλήσουν πρόσθετες πληροφορίες, όπως το λειτουργικό σύστημα μιας συσκευής (Android ή iOS), την ηλικία ενός λογαριασμού, καθώς και τον αριθμό των συσκευών που ήταν συνδεδεμένες με αυτόν.
Το εύρημα είναι ιδιαίτερα ανησυχητικό, καθώς καταδεικνύει ότι ακόμη και περιορισμένα δημόσια μεταδεδομένα, όταν αναλύονται μαζικά, μπορούν να δημιουργήσουν εικόνα για την ψηφιακή ζωή του χρήστη – σε βαθμό που επιτρέπει την κατάρτιση προφίλ σε ατομικό επίπεδο. Παράλληλα, η έρευνα οδήγησε και σε ένα παράδοξο συμπέρασμα: εντοπίστηκαν εκατομμύρια ενεργοί λογαριασμοί WhatsApp σε χώρες στις οποίες η πλατφόρμα έχει απαγορευθεί, όπως η Κίνα, το Ιράν και η Μιανμάρ.
Σημαντικό ήταν και το δεδομένο σχετικά με τις συσκευές: το 81% των λογαριασμών χρησιμοποιούσε Android και μόλις το 19% iOS. Το στοιχείο αυτό δείχνει την κυριαρχία των συσκευών Android στον παγκόσμιο πληθυσμό χρηστών.
Οι ερευνητές τόνισαν ότι δεν είχαν πρόσβαση στο περιεχόμενο των μηνυμάτων, το οποίο παραμένει «κρυπτογραφημένο από άκρο σε άκρο». Παρά ταύτα, ο Αλιόσα Γιουντμάιερ επεσήμανε ότι αυτή η μορφή προστασίας δεν επεκτείνεται στα μεταδεδομένα, δηλαδή στα συνοδευτικά στοιχεία που παράγονται από τη χρήση της υπηρεσίας, και τα οποία μπορούν να αποκαλύψουν ευαίσθητες πληροφορίες όταν συγκεντρωθούν.
Ο Γκεγκενχούμπερ υπογράμμισε ότι ακόμη και ώριμες και παγκοσμίως αξιόπιστες πλατφόρμες ενδέχεται να έχουν κενά σχεδιασμού που μπορούν να αξιοποιηθούν σε μεγάλη κλίμακα. Οι τεχνολογικές υπηρεσίες, ακόμα και οι πιο ασφαλείς, χρειάζονται συνεχή επανεξέταση και αναβάθμιση των πρωτοκόλλων απορρήτου.
Από την πλευρά του WhatsApp, ο επικεφαλής των μηχανικών της πλατφόρμας, Νίτιν Γκούπτα, εξέφρασε την ευγνωμοσύνη της εταιρείας προς τους ερευνητές, αναφέροντας ότι η Meta εργαζόταν ήδη προληπτικά για τον περιορισμό της μαζικής συλλογής δεδομένων. Παράλληλα, επιβεβαίωσε ότι όλα τα δεδομένα που ανακτήθηκαν στο πλαίσιο της έρευνας διαγράφηκαν με ασφάλεια και ότι η διαδικασία συνοδεύτηκε από αυστηρές ηθικές προδιαγραφές.
Τα αποτελέσματα της έρευνας θα παρουσιαστούν επίσημα στο Συμπόσιο Ασφάλειας Δικτύου και Κατανεμημένων Συστημάτων (NDSS) το 2026, ενώ η υπόθεση έχει ήδη ανοίξει μια νέα διεθνή συζήτηση για το τι σημαίνει πραγματική ιδιωτικότητα σε μια εποχή ψηφιακής υπερέκθεσης, ακόμη και όταν οι υπηρεσίες επικοινωνίας υπόσχονται «τέλεια κρυπτογράφηση».
