Популярный мессенджер раскрывает метаданные пользователей посторонним
3 мин
17
Уязвимость в мессенджере WhatsApp (принадлежит компании Meta, чья деятельность признана экстремистской и запрещена в РФ) позволяет злоумышленникам собирать метаданные пользователей без их ведома. Специалист по информационной безопасности Тал Биири продемонстрировал, что можно отслеживать онлайн-активность другого абонента, зная только его номер телефона. Так, он смог определить, что корреспондент издания Dark Reading был онлайн в ночь перед интервью и даже назвал модель устройства, которое тот использовал. При этом всё, что было в распоряжении исследователя, – телефонный номер журналиста.
Для получения подобных сведений эксперт разработал программу, которая подключается к мессенджеру и использует особенности архитектуры приложения. Подробности он пока не раскрывает, но обещает представить результаты своего исследования уязвимости мессенджера на конференции Black Hat Asia 2026.
Разработчики официально не прокомментировали заявление Тала Биири, но косвенно подтвердили его выводы. Они также сообщили о работе над мерами защиты для устранения выявленных проблем.
Указанные проблемы фиксировались в мессенджере и ранее. Так, в 2024 году исследователи описали способы отправки служебных сообщений, которые не отображаются на устройстве получателя. Через программу с доступом к веб-протоколу в аккаунт отправляли реакцию на несуществующее сообщение. Получатель её не видел, но такой метод позволял узнать о его активности по времени получения уведомления о доставке.
Получить информацию об устройствах пользователя возможно из-за особенностей реализации сквозного шифрования в мессенджере. Каждое устройство, привязанное к аккаунту, получает уникальный отпечаток с приватным ключом и идентификатором. Эти данные различаются в зависимости от операционной системы.
При сквозном шифровании даже сам мессенджер не может прочитать данные пользователей в случае взлома серверов, но также он не защищает их от подобных утечек метаданных.
Разработчики постепенно устраняют отдельные способы отправки невидимых запросов в ответ на исследование эксперта. Тал Биири критикует такой подход, так как работа с каждым типом сообщений отдельно усложняет процесс. В мессенджере существуют десятки видов сообщений, включая живую геолокацию, аудио, различные медиафайлы и опросы. И каждый потенциально создаёт новый метод для скрытых запросов.
