Paaiškėjo, kad platforma, kuria šiuo metu naudojasi apie 3,5 mlrd. žmonių, turėjo esminį trūkumą kontaktų atradimo sistemos architektūroje. Šis mechanizmas, sukurtas vartotojų patogumui, leido patikrinti, ar konkretus telefono numeris yra registruotas paslaugoje, siunčiant užklausas į „WhatsApp“ serverius. Tyrėjai parodė, kad neveiksmingi užklausų limitai sudarė sąlygas per itin trumpą laiką nuskenuoti šimtus milijonų numerių.
Tyrimo sėkmę lėmė tai, kad Vienos mokslininkai atsisakė naudoti standartinę programėlės sąsają ir pasirinko atvirkštinę inžineriją – jie išanalizavo „WhatsApp“ naudojamą XMPP protokolą. Sukūrę savo programinę įrangą, jie galėjo siųsti užklausas iki 7000 numerių per sekundę greičiu iš vienos sesijos – tai yra daugiau nei 100 mln. patikrinimų per valandą. Dar labiau stebina tai, kad platforma jų veiksmų neblokavo, nors visos užklausos buvo siunčiamos iš vieno universiteto serverio.
Tokiu būdu mokslininkai surinko milžinišką duomenų bazę, kurioje buvo ne tik informacija apie paskyrų aktyvumą, bet ir šifravimo viešieji raktai, profilio nuotraukos, skiltyje „Apie mane“ pateikiami aprašymai bei paskutinio aktyvumo laiko žymos.
Sukaupti duomenys atskleidžia įdomius technologijų naudojimo skirtumus skirtinguose pasaulio regionuose. Nors Indija yra didžiausia rinka, turinti apie 750 mln. paskyrų (21 proc. visų vartotojų), rekordinį įsisavinimo lygį demonstruoja Pietų Amerika, kur „WhatsApp“ paskyrą turi net 95 proc. gyventojų. Europoje šis rodiklis siekia vidutiniškai 80 proc., tačiau Lenkijoje – tik 61 paskyra 100 gyventojų. Tai gana kuklus rezultatas, palyginti su Vokietija, kur įsisavinimas siekia 88 proc.
Tyrimas taip pat atskleidė didžiulius skirtumus požiūryje į privatumą. Pasauliniu mastu 57 proc. žmonių turi viešai matomas profilio nuotraukas, o kai kuriose Afrikos valstybėse šis rodiklis viršija 80 proc. Tuo tarpu Filipinuose viešą profilio nuotrauką yra įsikėlę tik 36 proc. vartotojų. Įdomu ir tai, kad net 9 proc. visų paskyrų yra verslo, o kai kuriose Afrikos šalyse jos sudaro iki trečdalio visų profilių. Tai leidžia manyti, kad programa masiškai naudojama komercinei veiklai net ir be oficialios verslo paskyrų verifikacijos.
Taip pat svarbu paminėti, kad 81 proc. „WhatsApp“ vartotojų naudojasi „Android“ išmaniaisiais telefonais, o vos 19 proc. renkasi „iPhone“.
Ką tai reiškia paprastam vartotojui?
Nors atradimo mastas kelia nerimą, tyrėjai bendradarbiavo su „Meta“, siekdami pašalinti spragą. Naujausioje ataskaitos versijoje patvirtinama, kad atsakingas informacijos atskleidimo procesas davė rezultatų ir pagrindinė problema – užklausų limitų nebuvimas – jau išspręsta.
Vis dėlto tai nekeičia fakto, kad kartą piktybiškai surinkti duomenys gali būti naudojami daugelį metų. Analizė parodė, jog beveik pusė telefono numerių, kurie nutekėjo per „Facebook“ duomenų pažeidimą 2021 m., vis dar yra aktyvūs ir lengvai atpažįstami „WhatsApp“ sistemoje. Dėl to jie tampa idealiu taikiniu fišingo ir šlamšto kampanijoms.
Paprasčiausia ir svarbiausia išvada vartotojui – suprasti, kad net jei žinučių turinys yra visiškai šifruojamas, metaduomenys išlieka itin vertinga informacija. Masinis statusų ir profilio nuotraukų rinkimas leidžia kurti sudėtingus socialinius grafus, sekti žmonių buvimą internete ir identifikuoti potencialias persekiojimo aukas, ypač šalyse, kur tam tikrų programėlių naudojimas oficialiai draudžiamas, pavyzdžiui, Kinijoje ar Irane.
Ekspertai rekomenduoja „WhatsApp“ privatumo nustatymuose apriboti profilio nuotraukos ir statuso matomumą tik adresų knygelėje esantiems kontaktams. Toks sprendimas gerokai apsunkina automatizuotų skenerių veiklą ir sumažina panašių masinių duomenų rinkimo operacijų riziką ateityje.
