关键词
数据泄露
一项严重的WhatsApp安全漏洞允许研究人员获取全球35亿用户的电话号码,成为迄今记录的最大规模数据泄露之一,该漏洞源自应用的联系人发现功能,尽管早在2017年就有警告,Meta仍未及时修复。
该漏洞利用WhatsApp内置的联系人查找机制,通过输入号码即可确认账户是否存在并获取公开资料,如头像和状态信息,研究团队通过系统化查询数十亿号码,每小时可确认超过一亿个活跃账户。
研究在2024年12月至2025年4月间完成,使用工具生成覆盖245个国家的真实手机号,通过修改后的客户端访问电话号码、加密密钥、时间戳及公共资料,约56.7%的账户信息被收集,其中29.3%的“about”文本暴露了敏感信息,如政治观点、宗教信仰或社交媒体链接。
漏洞还发现290万例公钥复用,包括身份和预密钥,如果被恶意客户端利用,可能破坏端到端加密安全,部分账户甚至使用全零密钥,显示潜在欺诈或实现缺陷。
Meta于2025年4月通过漏洞赏金项目确认问题,并在10月实施了严格限流措施,但研究显示商业账户及公开资料仍存在风险。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
