研究人员发现 WhatsApp 上的大规模隐私漏洞

https://www.univie.ac.at/en/news/detail/forscherinnen-entdecken-grosse-sicherheitsluecke-in-whatsapp

维也纳大学和SBA Research的IT安全研究人员发现并负责任地披露了WhatsApp联系人发现机制中一个大规模的隐私漏洞，该漏洞允许枚举35亿个账户。Meta与研究人员合作，已解决并缓解了该问题。该研究的预印本现已发表，研究结果将于2026年在网络与分布式系统安全（NDSS）研讨会上公布。

WhatsApp 的联系人发现机制可以利用用户的通讯录，通过电话号码查找其他 WhatsApp 用户。研究人员利用同样的底层机制，证明可以通过 WhatsApp 的基础设施每小时查询超过 1 亿个电话号码，从而确认 245 个国家/地区超过 35 亿个活跃账户。“这种行为暴露了底层漏洞，使我们能够向服务器发出几乎无限量的请求，并在此过程中绘制出全球用户数据图。”

该研究还发现：

• 在包括中国、伊朗和缅甸在内的一些官方禁止 WhatsApp 的国家，发现了数百万个活跃的 WhatsApp 帐户。
• 在2021年Facebook泄露的5亿个电话号码中（该泄露事件源于2018年的一次数据抓取事件），近一半的号码仍然活跃在WhatsApp上。这凸显了此类泄露事件带来的持续风险（例如，成为诈骗电话的目标）。