أعلن باحثون نمساويون عن اكتشاف واحدة من أكثر الثغرات خطورة في تطبيق واتساب على مدى السنوات الأخيرة، بعد نجاحهم في استغلال ميزة “اكتشاف جهات الاتصال” لإنشاء ما يشبه قاعدة بيانات عالمية تحتوي على تفاصيل مرتبطة بـ3.5 مليار حساب نشط.
على الرغم من بقاء التشفير الكامل للرسائل سليمًا، إلا أن الكم الهائل من البيانات التعريفية التي تم استخراجها يبرز مدى الضعف في اعتماد تطبيقات التواصل على أرقام الهواتف كأساس للهوية الرقمية.
ثغرة بسيطة تكشف العالم بأسره
انطلقت الدراسة كاستكشاف بحثي محدود النطاق، لكنها سرعان ما تحولت إلى عملية شاملة أظهرت أرقام هواتف حوالي نصف سكان الكوكب. اعتمد الباحثون على بروتوكول XMPP الذي يستند إليه واتساب، مستخدمين عميلًا مخصصًا يُدعى whatsmeow، مما مكّنهم من تجاوز القيود العادية للتطبيق وإرسال طلبات الاتصال بسرعة تصل إلى 7000 رقم كل ثانية. وباستخدام خمس جلسات فقط وخادم واحد، أنتج الفريق ملايين الأرقام المحتملة في 245 دولة، ثم قاموا بفحص كل رقم للتحقق من ارتباطه بحساب واتساب.
وفي تصريح يعبر عن حجم الدهشة، قال غابرييل غيغنهوبر، الباحث الرئيسي في جامعة فيينا: “من المفترض ألا يستجيب النظام لهذا العدد الضخم من الطلبات في وقت قصير، خصوصاً عندما تصدر من مصدر واحد. هذا السلوك كشف الخلل الذي سمح لنا بإرسال عدد غير محدود من الطلبات للخادم، وبالتالي رسم خريطة بيانات المستخدمين حول العالم.”
وأفاد الباحثون بأنهم اندهشوا من عدم وجود أي دفاعات من الجهاز، مشيرين في تقريرهم إلى أنهم “لم يواجهوا أي حدود تمنع معدل البحث”، وأنهم أنهوا عملية الفحص الشامل “دون أي حظر أو تباطؤ أو إشعارات تحذيرية”.
ما هي التفاصيل التي كشفتها الدراسة؟
أكد الفريق قدرتهم على رسم صورة شاملة تقريبًا لقاعدة مستخدمي واتساب، تشمل التوزيع الجغرافي، وأنظمة التشغيل الأكثر شيوعًا، وعمر الحسابات، وعدد الأجهزة المتصلة عبر خاصية “الكمبانيون”. وفي بلدان مثل الولايات المتحدة والبرازيل والمكسيك، تم تحديد مواقع المستخدمين بدقة تصل إلى مستوى الولاية أو المنطقة، مما يزيد من خطر تعرضهم لهجمات احتيالية أو حملات تصيد مستهدفة.
وفي تعليق يبرز مخاطر هذه البيانات، قال أليوشا يودماير، أحد الباحثين المساهمين: “التشفير التام يحمي محتوى الرسائل، لكنه لا يحمي البيانات التعريفية. دراستنا تُظهر أن المخاطر قد تظهر عند جمع هذه البيانات وتحليلها على نطاق واسع.”
وأوضح الفريق أن المعلومات المتاحة لهم تشبه ما يراه أي شخص عند معرفة رقم الهاتف، لكنهم نجحوا أيضًا في استخراج بيانات إضافية مثل نظام التشغيل، وعمر الحساب، وعدد الأجهزة المرتبطة، وصور الملفات الشخصية، ووصف النبذة، وكلها عناصر يمكن أن تساعد في بناء ملفات دقيقة عن الأفراد.
ومن أبرز الاكتشافات المثيرة للجدل، كشف ملايين الحسابات النشطة في دول تفرض حظرًا رسميًا على التطبيق. فقد حدد الباحثون 2.3 مليون حساب في الصين، و1.6 مليون في ميانمار، وخمسة حسابات في كوريا الشمالية، بالإضافة إلى أكثر من 59 مليون حساب في إيران رغم المنع الذي امتد حتى نهاية 2024. وأشارت الدراسة إلى أن “هذه النتائج تُظهر الاعتماد الكبير للمستخدمين على الطرق التقنية للالتفاف حول الحظر الحكومي”.
تسريب 2021 يعود ليطارد المستخدمين مرة أخرى
كشفت الدراسة كذلك أن نصف أرقام الهواتف التي ظهرت في تسريب فيسبوك لعام 2021 ما زالت نشطة على واتساب حتى الآن. كان ذلك التسريب قد أفصح عن أسماء المستخدمين وأرقام هواتفهم ومواقعهم وتواريخ ميلادهم، وتم نشره في منتديات القرصنة.
وبناءً على ذلك، فرضت لجنة حماية البيانات الأيرلندية غرامة بقيمة 265 مليون يورو على شركة ميتا، معتبرة إياها “فشلت في الامتثال لقوانين حماية البيانات”.
وأكد الباحثون وجود “مخاطر أمنية مستمرة ومتزايدة لأي مستخدم لا يزال رقم هاتفه ضمن القائمة المسربة في ذلك الاختراق”.
رد ميتا: الإصلاح تم… والمعلومات كانت متاحة أصلاً
أفادت شركة ميتا بتعاونها مع الباحثين طوال فترة الدراسة، وأنها “قامت بمعالجة الثغرة وتخفيف تأثيراتها”. وفي بيان رسمي، قال نيتين غوبتا، نائب رئيس الهندسة في واتساب: “كنا نعمل بالفعل على أنظمة متقدمة لمكافحة سحب البيانات، وكانت هذه الدراسة مهمة لاختبار فعالية هذه الدفاعات.”
وأضاف: “لم نعثر على أي دليل على أن جهات خبيثة استغلت هذا المسار. رسائل المستخدمين بقيت خاصة وآمنة بفضل التشفير التام بين الطرفين، ولم يكن هناك أي وصول إلى بيانات غير عامة.”
وأوضح غوبتا أن الشركة أدخلت إجراءات جديدة للحد من سرعة الطلبات في واجهة واتساب ويب، وأن “المعلومات التي جُمعت كانت معلومات عامة يمكن لأي شخص رؤيتها إذا كان يملك رقم الهاتف، وأن المستخدمين الذين فعّلوا إعدادات الخصوصية لم يتأثروا”.
لماذا تستمر المشكلة رغم الإصلاح التقني؟
يحذر الفريق من أن جذر الإشكالية ليس في الثغرة المحددة، بل في التصميم الأساسي للتطبيق، الذي يعتمد كليًا على رقم الهاتف كمعرف رئيسي. وهذا يجعل أي أداة بحث مرتبطة بالأرقام عرضة للاستغلال على نطاق واسع.
وأوضحوا أن “التركيز المركزي على عدد محدود من تطبيقات الرسائل يولد نقاط ضعف كبيرة عند تجميع البيانات التعريفية عالميًا”.
وأشارت الدراسة إلى أن ميزة “اسم المستخدم”، التي يختبرها واتساب حاليًا في الإصدار التجريبي، قد تمثل خطوة أولى نحو تقليل الاعتماد على الأرقام ومنع إنشاء قواعد بيانات مشابهة.
الخطر الحقيقي ليس في الرسائل… بل في السياق المحيط بها
تؤكد الدراسة سلامة التشفير الكامل للرسائل، لكنها تحذر من أن البيانات التعريفية المحيطة بها – مثل تاريخ التسجيل، ونوع الجهاز، والموقع الجغرافي، وصورة الحساب – يمكن أن تشكل تهديدًا خطيرًا إذا تم تجميعها وتحليلها على مستوى عالمي. وما حدث يعكس هشاشة الهيكل الرقمي الذي يدعم مليارات الحسابات، ويثير نقاشًا حاسمًا حول مستقبل الخصوصية في التطبيقات الكبرى التي ترتكز هويتها على رقم الهاتف.
