研究揭WhatsApp資安漏洞 35億帳號個資恐外洩

奧地利維也納大學及其資安研究中心SBA Research團隊發現，全球最大即時通訊平台WhatsApp「聯絡人比對機制」存在嚴重資安漏洞，恐導致全球超過35億使用者電話號碼與個資外洩。

研究指出，WhatsApp「聯絡人比對機制」可透過手機通訊錄中的電話號碼，尋找其他人是否同為WhatsApp使用者，但這項查詢機制缺乏限制，使研究人員能以每秒7000筆速度自動查詢、每小時搜尋逾1億組電話，最終取得和分析出35億使用者個資，包含註冊時間、裝置型號、綁定裝置數量；其中更獲取約57%使用者大頭照、29%個人介紹。

研究團隊表示，雖然WhatsApp訊息內容仍受「端對端加密」保護，但「元數據」可能外洩，甚至足以確定美國、巴西、墨西哥等國使用者的州別位置。研究人員擔心，不法分子會利用該項漏洞，發動詐騙、騷擾電話或社交工程等攻擊。

資安公司NordVPN技術長布瑞迪斯（Marijus Briedis）則指出，駭客僅憑使用者電話號碼、個人照片與狀態訊息，就能發動高度精準的冒充攻擊，對他們來說「該項漏洞就是一個金礦」。

對此，WhatsApp母公司Meta表示，已處理該項漏洞，且未發現任何惡意利用跡象，並感謝研究團隊在Meta漏洞賞金計畫下合作研究。Meta也指出，研究人員已全數刪除研究過程中蒐集的資料。