全球廣受使用的通訊軟體WhatsApp,近日被揭露存在重大資安漏洞,恐導致35億筆使用者資料遭到搜集,引發外界高度關注。近日一項研究指出,WhatsApp內建的「聯絡人比對機制」原本設計用於透過電話號碼確認使用者是否在平台上,但由於缺乏有效的查詢限制,使得研究人員能以極高速度、幾乎不受阻擋地輸入大量電話號碼,藉此確認全球各地帳號存在與否,並擷取公開個資。其母公司「Meta」證實相關問題,並聲稱已完成修補,強調信息內容加密未遭破壞,但專家提醒,僅靠端對端加密並不足以完全保護個資安全。
綜合外媒報道,奧地利維也納大學及SBA Research研究團隊表示,他們建立一套算法,以每秒7000筆速度試探性輸入號碼,單一小時內即可比對超過一億組電話,最終確認至少35億個活躍用戶資料,遠高於WhatsApp官方宣稱的「超過20億」。
雖然信息內容仍受加密保護,但研究人員強調,這項漏洞暴露的其實是另一層風險:使用者的「元資料」(Metadata)仍可能成為外泄目標,包括電話號碼、位置推估、裝置型號、帳號註冊時間、甚至綁定裝置數量等皆可被分析。團隊進一步指出,在美國、巴西、墨西哥等國,元資料的精準度足以推算到州別位置,若遭不法份子利用,恐造成釣魚詐騙、騷擾電話或社交工程攻擊等後果。
研究還揭露多項令人警惕的趨勢。首先,即使在中國大陸、伊朗、緬甸等官方禁用WhatsApp的國家,仍有「數百萬活躍帳號」存在,顯示當地民眾可能透過翻牆服務繞過限制,若遭政府掌握,恐面臨拘留或監控。此外,團隊發現2021年Meta重大資料外泄事件中遭曝光的5億筆電話號碼,至今仍有一半以上活躍於WhatsApp,顯示長期資安風險尚未解除。
更令人擔憂的是,有超過57%帳號具備可辨識的人臉大頭照,另有近三成用戶在個人簡介或連結中透露職業、政治傾向、性傾向及電子郵件等敏感資訊,足以讓攻擊者建立「反查電話簿」,藉由照片辨識交叉比對身份。
對此,WhatsApp工程副總裁Nitin Gupta回應,目前已與研究團隊合作修補漏洞,並着手強化防止「資料刮取」(Scraping)的技術,強調研究過程中「沒有未授權者濫用此機制」,且研究團隊已安全刪除測試資料。
不過,研究團隊提醒,全球通訊逐漸集中於少數平台一事,本身即可能引發更大規模的私隱風險。維也納大學研究員Aljosha Judmayer認為:「端對端加密可以保護信息內容,但元資料若被大量搜集與分析,仍足以描繪一個人的生活樣貌。」他呼籲大眾仍需提高警覺,定期檢查公開資訊,儘量避免在個人檔案透露不必要細節,以減少落入攻擊者瞄準的可能性。
