سودان تمورو:
اكتشف باحثون من جامعة فيينا ومؤسسة إس بي إيه رسيرش للأبحاث ثغرة أمنية في تطبيق التراسل واتساب تهدّد خصوصية قائمة معارف المستخدم. وتسمح الثغرة باكتشاف استخدام دفتر أرقام مستخدم للعثور على مستخدمي “واتساب” آخرين من خلال رقم هاتفهم. وأثبت الباحثون أنه من الممكن الاستعلام عن أكثر من مائة مليون رقم هاتف في الساعة من خلال البنية التحتية لـ”واتساب”، ووجدوا في المحصّلة أكثر من 3.5 مليارات حساب نشط في 245 دولة.
والبيانات المتاحة المستخدمة في الدراسة هي نفسها التي تكون متاحة للعامة لأي شخص يعرف رقم هاتف المستخدم، وتتكون من رقم الهاتف، والمفاتيح العامة، وأوقات الأنشطة، ومعلومات حول النصوص وصورة البروفايل. من هذه البيانات، تمكّن الباحثون من استخراج معلومات إضافية، مثل نظام تشغيل المستخدم، وعمر حسابه، بالإضافة إلى عدد الأجهزة المرتبطة بالحساب. تُظهر الدراسة أنه حتى هذه الكمية المحدودة من البيانات لكل مستخدم يمكن أن تكشف عن معلومات مهمة.
ووجدت الدراسة معلومات مهمة أخرى على صعيد أوسع، فقد رصد ملايين حسابات “واتساب” النشطة في دول حيث التطبيق محظور، مثل الصين وإيران وميانمار. وكشفت معلومات حول التوزيع العالمي للتطبيق بين أجهزة أندرويد (81%) مقابل أجهزة آبل (19%)، والاختلافات الإقليمية في سلوكات الخصوصية (مثل استخدام صور البروفايل العامة أو النص التعريفي للحساب، والتباينات في نمو المستخدمين عبر البلدان.
وأظهر عدد قليل من الحالات إعادة استخدام مفاتيح التشفير عبر أجهزة أو أرقام هواتف مختلفة، مما يشير إلى ثغرات محتملة لدى عملاء “واتساب” غير الرسميين أو استخدام احتيالي. وما يقرب من نصف أرقام الهواتف التي ظهرت في تسريب بيانات “فيسبوك” عام 2021 لـ500 مليون رقم هاتف كانت لا تزال نشطة على “واتساب”. وهذا يُسلّط الضوء على المخاطر الدائمة للأرقام المسرَّبة مثل استهدافها بمكالمات احتيالية.
ويوضح الباحث الرئيسي في هذه الدراسة، غابرييل جيجينهوبر، أنه “عادةً، لا ينبغي للنظام أن يستجيب لهذا العدد الكبير من الطلبات في وقت قصير كهذا، خاصةً عندما يكون مصدرها واحداً”. ويضيف: “كشف هذا السلوك عن الثغرة الكامنة، مما سمح لنا بإرسال طلبات غير محدودة فعلياً إلى الخادم، وبالتالي، ربط بيانات المستخدمين عالمياً”.
وتقول الجامعة إن الدراسة لم تتضمن وصولاً إلى محتوى الرسائل، وإنها لم تنشر أو تشارك أي بيانات شخصية. ويقول الباحثون إنهم حذفوا جميع البيانات المسترجعة قبل النشر. كذلك طمأنت إلى أن محتوى الرسائل على “واتساب” هو “مشفر من البداية إلى النهاية” ولم يتأثر في أي وقت. ويوضح المؤلف الأخير، ألجوشا جودماير، من جامعة فيينا: “يحمي هذا التشفير الشامل محتوى الرسائل، لكنه لا يحمي بالضرورة البيانات الوصفية المرتبطة بها”. ويضيف: “يُظهر عملنا أن مخاطر الخصوصية قد تنشأ أيضاً عند جمع هذه البيانات الوصفية وتحليلها على نطاق واسع”.
ويقول المؤلف الرئيسي غابرييل جيجينهوبر من جامعة فيينا: “تذكرنا هذه النتائج بأنه حتى الأنظمة المتطورة والموثوقة على نطاق واسع قد تحتوي على عيوب في التصميم أو التنفيذ، مما قد يؤدي إلى عواقب وخيمة”. ويضيف: “تُظهر هذه النتائج أن الأمن والخصوصية ليسا إنجازين لمرة واحدة، بل يجب إعادة تقييمهما باستمرار مع تطور التكنولوجيا”.
وأشارت الجامعة إلى أن شركة ميتا، مالكة تطبيق واتساب، قد أُبلغت بنتائج الدراسة على الفور، وإلى أن الشركة طبّقت إجراءات مضادة لسد الثغرة الأمنية المُكتشفة، مثل تحديد سرعة الاتصال، وتشديد وضوح معلومات البروفايل. وأكّدت الجامعة أن التعاون الاستباقي بين الباحثين وقطاع الاتصالات يمكن أن يُحسّن بشكل كبير خصوصية المستخدمين ويمنع إساءة الاستخدام.
العربي الجديد