رغم بساطة البيانات، تمكّن الباحثون من استنتاج معلومات إضافية، مثل نوع الهاتف المستخدم (أندرويد أو آيفون)، وعمر الحساب، وعدد الأجهزة المرتبطة به.
كشف باحثون من جامعة فيينا وSBA Research عن وجود ضعف كبير في الخصوصية داخل تطبيق واتساب، حيث تبيّن أنه يمكن استغلال ثغرة أمنية للحصول على ملايين الأرقام وجمع معلومات شخصية عن أصحابها.
كيف حصل ذلك؟
يعمل واتساب عن طريق فحص الأرقام في الهاتف لمعرفة أيٍّ منها مُسجَّل على التطبيق، إلا أن الفريق البحثي وجد أن هذه الميزة يمكن استغلالها لرصد مئات الملايين من الأرقام في ساعة واحدة، وتحديد أيّ الأشخاص موجودون على واتساب دون أخذ إذنهم، وسحب معلومات تخصهم. وقد أبلغ الفريق البحثي شركة ميتا بهذا الخلل، وتعهدت بدورها بمعالجة المشكلة والتخفيف من أثرها.
استخدم الباحثون بعض البيانات التي شملت رقم الهاتف، وبعض المفاتيح التقنية، وأوقات آخر ظهور، وصورة الحساب إذا كانت علنية.
ورغم بساطة هذه المعلومات، استطاع الباحثون من خلالها معرفة أشياء إضافية مثل نوع الهاتف (أندرويد أو آيفون)، وعمر الحساب، وعدد الأجهزة المرتبطة به.
وتُظهر الدراسة أن هذه التفاصيل البسيطة يمكن أن تكشف الكثير عن المستخدمين على الصعيدين الفردي والجماعي.
وكشفت الدراسة أيضًا معلومات واسعة، منها:
- وجود ملايين الحسابات النشطة في دول محظور فيها واتساب رسميًا مثل الصين وإيران وميانمار.
- توزيع عالمي لاستخدام الأجهزة: 81٪ أندرويد، 19٪ آيفون، إضافة إلى اختلافات بين المناطق في طريقة تعامل الناس مع الخصوصية، مثل نشر صورة الحساب علنًا أو عدمها.
- وجود حالات قليلة أُعيد فيها استخدام مفاتيح التشفير نفسها على أجهزة أو أرقام مختلفة، ما قد يدل على مشاكل في تطبيقات واتساب غير الرسمية أو على استخدام غير قانوني.
- حوالي نصف أرقام الهواتف التي ظهرت في تسريب فيسبوك عام 2021 ما زالت نشطة على واتساب، ما يعني أن الأرقام المسربة تبقى معرّضة لاحتمال الاستهداف في عمليات احتيال أو مضايقات.
الرسائل تبقى سرية
ورغم ذلك، يبقى محتوى رسائل واتساب محميًا بالتشفير التام بين الطرفين، ولم يتأثر هذا بأي شكل. لكن الباحثين أوضحوا أن هذا التشفير يحمي الرسائل نفسها فقط، ولا يحمي دائمًا البيانات الخارجية المرتبطة بها، مثل وقت استخدام التطبيق أو نوع الجهاز.
ويقول الباحثون إن مهندسي شركة ميتا تعاونوا معهم وتعهدوا العمل على أنظمة أقوى، مؤكدين في الوقت نفسه أنه لم يسبق لأي "جهات مشبوهة" أن استخدمت هذه الطريقة، وأن رسائل المستخدمين بقيت خاصة بالكامل، ولم يكن لدى الباحثين أي وصول إلى بيانات غير متاحة للعامة.