Hacker News 中文摘要

RSS订阅

研究人员发现WhatsApp存在安全漏洞 -- Researchers discover security vulnerability in WhatsApp

原文链接 | HN讨论 | 2025-11-20 09:31:54

文章摘要

维也纳大学和SBA Research的IT安全研究人员发现WhatsApp联系人查询机制存在重大隐私漏洞,可批量验证35亿账号。该漏洞允许每小时查询超1亿个号码,目前已由Meta修复。研究强调了对主流通讯平台持续安全审查的重要性,揭示了即时通讯服务集中化的风险。相关成果将在2026年NDSS研讨会上发布。

文章总结

维也纳大学与SBA研究所的网络安全专家发现并负责任地披露了WhatsApp联系人发现机制中存在的大规模隐私漏洞,该漏洞可能导致35亿用户账户被枚举。在与研究人员合作下,Meta公司已修复该问题。这项研究强调了持续对主流通讯平台进行独立安全审查的重要性,并揭示了即时通讯服务中心化带来的风险。研究预印本已发布,完整成果将于2026年在网络与分布式系统安全研讨会(NDSS)公布。

研究团队发现,攻击者可利用WhatsApp基础设施每小时查询超1亿个电话号码,从而确认全球245个国家/地区逾35亿活跃账户。维也纳大学首席研究员Gabriel Gegenhuber指出:"系统本不应在短时间内响应如此高频的请求,这暴露了底层设计缺陷,使得攻击者能通过无限查询绘制全球用户图谱。"

通过分析公开可见的数据字段(电话号码、公钥、时间戳及用户自愿公开的个人简介和头像),研究人员还能推断用户操作系统、账户注册时长及关联设备数量。研究表明,即便这些有限数据也能在宏观和个体层面揭示重要信息。

核心发现包括: - 在中国、伊朗、缅甸等禁用WhatsApp的国家仍存在数百万活跃账户 - 全球安卓设备占比81%,iOS设备19%,不同地区用户的隐私设置存在显著差异 - 少量案例显示加密密钥在设备/号码间重复使用,暴露非官方客户端的安全隐患 - 2021年Facebook数据泄露事件中近半数电话号码仍关联活跃WhatsApp账户

研究全程未获取消息内容,所有数据已在发表前销毁。维也纳大学研究员Aljosha Judmayer强调:"端到端加密虽保护消息内容,但元数据的大规模收集分析仍会带来隐私风险。"

WhatsApp工程副总裁Nitin Gupta回应称:"我们感谢研究人员的负责任合作,已部署领先的反爬虫系统。用户消息始终受端到端加密保护,研究未涉及非公开数据。"

这项研究是维也纳大学团队对主流通讯软件安全性的第三次重大发现。此前他们曾揭示"静默回执"监控风险(获RAID 2025最佳论文奖),以及WhatsApp密钥交换机制的加密漏洞(发表于USENIX WOOT 2025)。最新研究将安全审查扩展到全球范围,展示了联系人发现机制可能引发的空前规模用户枚举风险。

论文《Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy》已被NDSS 2026接收,预印本发布于GitHub平台。

评论总结

总结评论内容如下:

  1. 对漏洞严重性的质疑

    • 多位评论者认为WhatsApp账号枚举问题被过度炒作,算不上严重漏洞
    • "Security vulnerability is a bit strong" (TZubiri)
    • "Is phone number enumeration now considered a vulnerability? Really?" (zgk7iqea)

  2. 对WhatsApp母公司的不信任

    • 有评论指出真正的安全问题是WhatsApp被Facebook收购
    • "the entire product may as well be a security vuln" (alex1138)
    • "This is about power, and software is just one of many tools" (bfkwlfkjf)

  3. 技术解决方案讨论

    • 有建议使用加密密钥替代电话号码,但认为难以实现
    • "replace phone numbers by secret 256 bit keys...Never gonna happen" (londons_explore)
    • 另有用户分享防枚举攻击的技术方案
    • "a contact-matching scheme that's intended to be resilient to this kind of enumeration attack" (pfraze)

  4. 对用户行为的批评

    • 批评大众接受限制自由的软件
    • "overwhelming majority of people accept to subject themselves to freedom-oppressing software" (bfkwlfkjf)
    • "Stallman was right" (bfkwlfkjf)

  5. 研究资源分享

    • 有用户分享电话号码前缀列表等研究资源
    • "Listofmobiletelephoneprefixesbycountry was super helpful" (InfoSecErik)