- WhatsApp’ın dünya çapında meta veri kazıma risklerine maruz kalan 3,5 milyar aktif hesabı var
- Kişi bulma kusuru, telefon numaralarının küresel ölçekte numaralandırılmasına olanak sağladı
- Hesaplarda milyonlarca şifreleme anahtarı yeniden kullanıldı ve bu da güvenlik varsayımlarını zayıflattı
WhatsApp Kullanıcıların, endişe verici olabilecek bir keşfin ardından hesap bilgilerini korumak için ek adımlar atması gerekebilir.
A çalışmak Viyana Üniversitesi’ndeki araştırmacılar, uygulamanın kişi bulma sisteminin, küresel uç noktalarda yetersiz hız sınırlaması nedeniyle kapsamlı WhatsApp kullanıcı verilerinin eşi benzeri görülmemiş bir ölçekte toplanmasını sağladığını ortaya çıkardı.
Araştırmacılar çok miktarda telefon numarası, herkese açık profil fotoğrafı, hesap durumu metni, işletme etiketleri ve uçtan uca şifreleme anahtarlarına bağlı bilgiler toplamayı başardılar.
Veriler geniş ölçekte nasıl toplandı?
Veri seti, Çin, İran, Myanmar ve Kuzey Kore dahil olmak üzere WhatsApp’ın yasaklandığı ülkelerdeki kullanıcıları içeriyordu; bu da potansiyel olarak katı devlet izlemesi olan ve şifreli araçlara sınırlı erişime sahip bölgelerdeki bireylerin tanımlanmasını mümkün kılıyordu.
Araştırma ekibi, otomatik numara oluşturma araçlarını kullanarak iki yüzden fazla ülkede 60 milyarın üzerinde olası cep telefonu numarası üretti.
Daha sonra tersine mühendislik protokolleri aracılığıyla her numarayı WhatsApp sunucularıyla karşılaştırdılar.
Yöntem, resmi uygulamalar yerine doğrudan WhatsApp altyapısını sorgulayan değiştirilmiş açık kaynak istemcilere dayanıyordu.
Süreç, daha önce 2012 ve 2021’de belgelenen numaralandırma sorunlarını tekrarlayarak, saniyede binlerce sayıyı engellenmeden doğruladı.
Toplanan veriler arasında zaman damgaları, cihaz bilgileri, halka açık şifreleme anahtarları ve küresel bölgeler genelinde kullanım modellerinin haritalanmasına olanak tanıyan meta veriler yer alıyordu.
Her anahtarın benzersiz olması gerektiği yönündeki beklentilere rağmen, şifreleme anahtarlarının farklı hesaplarda yeniden kullanıldığı milyonlarca durum vardı.
Bazı anahtarların tamamen sıfırlardan oluşması, birincil uygulama yerine üçüncü taraf istemcilerin hatalı uygulamalarını akla getiriyor.
Gönderilen açıklamada Siber içeriden bilgiWhatsApp Mühendislikten Sorumlu Başkan Yardımcısı Nitin Gupta şunları söyledi:
“Viyana Üniversitesi araştırmacılarına Bug Bounty programımız kapsamındaki sorumlu ortaklıkları ve çalışkanlıkları için minnettarız. Bu işbirliği, araştırmacıların kamuya açık temel bilgileri almasına olanak tanıyarak amaçladığımız sınırlarımızı aşan yeni bir sayım tekniğini başarıyla belirledi. Zaten sektör lideri kazımayı önleyici sistemler üzerinde çalışıyorduk ve bu çalışma, stres testinde ve bu yeni savunmaların anında etkinliğini doğrulamada etkili oldu. Daha da önemlisi, araştırmacılar, çalışmanın bir parçası olarak toplanan verileri güvenli bir şekilde sildiler, Kötü niyetli aktörlerin bu vektörü kötüye kullandığına dair hiçbir kanıt bulamadık. Bir hatırlatma olarak, WhatsApp’ın varsayılan uçtan uca şifrelemesi sayesinde kullanıcı mesajları gizli ve güvenli kaldı ve araştırmacıların kamuya açık olmayan hiçbir verisine erişemedi.”
Meta, mesajların korunmaya devam ettiğini savundu ancak araştırmacılar, genel anahtarın yeniden kullanımının uçtan uca şifrelemenin ardındaki güven modelini zayıflattığını ileri sürdü.
Şirket, açıklamanın ardından Ekim 2025’te daha güçlü oran limitleri uyguladı ve daha sonra ayrı bir konuyu ele aldı. Elma yetkisiz medya alımına izin veren cihazlar.
WhatsApp, 2025’in başı itibarıyla tahminen 3,5 milyar aktif hesaba ulaşarak tarihin en yaygın kullanılan iletişim platformları arasına girdi.
Nasıl güvende kalınır?
- Herkese açık profil alanlarında görünenleri sınırlayın ve durum mesajlarına bağlantı göndermekten kaçının.
- Daha iyi hesap koruması için güçlü şifreler kullanın ve iki faktörlü kimlik doğrulamayı etkinleştirin.
- Tehditleri hesabınızı etkilemeden önce tespit etmek için virüsten koruma yazılımını güncel tutun.
- Şüpheli etkinlikleri veya verilerin kötüye kullanımını izlemek için kimlik hırsızlığı koruma hizmetlerini kullanın.
- Bilinmeyen kişileri engelleyin ve olağan dışı davranışlar açısından hesap etkinliğini düzenli olarak inceleyin.
- Kötü amaçlı ağ erişimini ve şüpheli bağlantıları önlemek için bir güvenlik duvarını etkinleştirin.
- Resmi olmayan WhatsApp istemcilerinden kaçının ve resmi uygulamayı mümkün olan en kısa sürede güncelleyin.
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin Video biçimindeki haberler, incelemeler ve kutu açma işlemleri için bizden düzenli güncellemeler alın WhatsApp fazla.