WhatsApp: I ricercatori creano una rubrica telefonica con tutti i 3,5 miliardi di utenti

I ricercatori di sicurezza dell'Università di Vienna e di SBA Research hanno fornito una dimostrazione inquietante delle possibilità di raccolta dei dati su WhatsApp. Il team è riuscito a smascherare tutti i 3,5 miliardi di utenti che utilizzano la funzione di scoperta dei contatti del messenger. Questa funzione è in realtà destinata a controllare i contatti della propria rubrica.

I ricercatori hanno sfruttato un'enorme vulnerabilità di sicurezza, che nel frattempo è stata chiusa. Hanno scoperto che l'interfaccia non aveva limiti di velocità sufficienti per le query. In teoria, questo ha permesso loro di cercare 100 milioni di numeri di telefono all'ora. Gli intervalli completi di numeri di telefono sono stati semplicemente esaminati. Lo studio è stato pubblicato su Githubgli scienziati presenteranno ulteriori risultati e analisi dettagliate al Network and Distributed System Security (NDSS) Symposium, che si terrà a San Diego dal 23 al 27 febbraio 2026.

Questo studio ha prodotto un enorme database di circa 3,5 miliardi di account WhatsApp attivi in tutto il mondo. L'API (interfaccia di programmazione delle applicazioni) di WhatsApp forniva metadati disponibili al pubblico non appena un numero veniva identificato come registrato. Questi includono immagini del profilo, aggiornamenti di stato e informazioni sull'ultima volta che un utente è stato online. È stato possibile ricavare anche dettagli tecnici, come la distribuzione dei sistemi operativi. Ad esempio, i dati mostrano che circa l'81% degli utenti in tutto il mondo utilizza Android, mentre iOS rappresenta circa il 19%.

I ricercatori hanno anche confrontato questi dati con la massiccia fuga di dati di Facebook del 2021. il 58% dei numeri trapelati all'epoca sono ancora attivi oggi. Questo illustra quanto possano essere preziosi questi enormi set di dati, anche a distanza di anni. Anche nei Paesi con una rigida censura di Internet e blocchi di WhatsApp, sono stati identificati milioni di utenti attivi. sono stati identificati 2.333.519 account con numeri di telefono cinesi. Anche in Corea del Nord, almeno cinque numeri di telefono sono stati collegati a un account WhatsApp.

Meta è stata informata della vulnerabilità e da allora ha risposto implementando limiti di velocità severi, per cui le interrogazioni di massa a questa velocità non dovrebbero più essere possibili. Sebbene l'azienda abbia dichiarato che non ci sono prove di sfruttamento della vulnerabilità da parte di terzi, una revisione completa di tali tentativi in passato è tecnicamente quasi impossibile. Il metodo stesso è noto negli ambienti della sicurezza, per cui un utilizzo precedente e non rilevato da parte di altri attori è almeno una possibilità.

Inoltre, un dettaglio tecnico fornisce spunti sul mondo oscuro di WhatsApp. In condizioni normali, ogni installazione dell'app genera una coppia di chiavi crittografiche uniche, che costituiscono la base della crittografia end-to-end e garantiscono l'identità del dispositivo. Tuttavia, i ricercatori hanno scoperto gruppi di numeri di telefono che utilizzano la stessa chiave pubblica, cosa che dovrebbe essere tecnicamente impossibile quando si utilizza l'app ufficiale su dispositivi fisici. Questo riutilizzo della chiave suggerisce fortemente l'uso di un software non ufficiale. Tali strumenti sono spesso utilizzati nelle "click farm" o per i bot di marketing, dove gli operatori copiano identità di sicurezza identiche su molti account diversi, per motivi di efficienza o a causa di un'implementazione errata. Questo non solo espone gli account falsi, ma dimostra anche che questi client non ufficiali possono minare in modo massiccio l'architettura di sicurezza del messenger.