全球广泛使用的通讯软体 WhatsApp 近日被揭发存在严重资安缺口,恐让多达 35 亿笔用户资料遭到系统性搜集,事件一出立即引发国际关注。一项最新研究指出,WhatsApp 用来确认使用者是否在平台上的「联络人比对机制」,因为缺乏查询次数限制,竟使研究人员得以高速、无阻碍地输入海量电话号码,从而验证全球帐号是否存在,并取得所有公开资料。WhatsApp 母公司 Meta 已证实相关问题,并强调漏洞已修补、端对端加密并未受影响,但专家直言:加密保护不了使用者的元数据(Metadata),个人隐私依然存在巨大风险。
根据外媒整理,奥地利维也纳大学与 SBA Research 的研究团队开发出一套演算法,能以每秒 7000 次的速度试探输入电话号码,仅一小时就可比对超过一亿组号码。最终他们成功确认至少 35 亿个活跃帐号,远远超过 WhatsApp 官方宣称的“超过 20 亿用户”。
虽然讯息内容未外泄,但研究团队强调,问题更严重之处在于“元数据曝光”。透过这些比对,他们能够推估与分析:
- 用户的电话号码
- 可能的地理位置
- 使用装置型号
- 帐号注册时间
- 绑定装置数量等
在美国、巴西、墨西哥等国家,元资料甚至精准到能推算出“州别位置”。一旦落入不法分子手中,恐引发钓鱼诈骗、社交工程攻击、骚扰电话等各种犯罪。
研究也揭露多项令人震惊的现象。像是即使在中国大陆、伊朗、缅甸等官方禁止使用 WhatsApp 的地区,仍发现有“数百万活跃帐号”,显示当地民众可能依靠翻墙系统使用该应用,若数据外泄或被政府掌握,恐引发拘捕或监控风险。此外,2021 年 Meta 曾发生 5 亿笔电话号码外泄事件,而这些号码至今仍有超过一半继续活跃于 WhatsApp,显见隐忧长期存在。
更令人担心的是,大量用户在个人资料中暴露太多隐私:超过 57% 使用者上传可辨识的人脸照,近三成在简介中留下职业、政治立场、性倾向、Email 等敏感资讯,使得攻击者能建立“反查身份资料库”,甚至凭一张照片就精准锁定用户身份。
WhatsApp 工程副总裁 Nitin Gupta 对此回应,他们已与研究团队合作修补漏洞,并持续强化防止“资料刮取”(Scraping)的机制。他强调,此次研究并无外部恶意人士利用漏洞,所有测试数据已被研究团队安全删除。
然而,研究人员警告,更根本的问题是“全球通讯过度集中在少数平台”。维也纳大学研究员 Aljosha Judmayer 指出:“端对端加密只能保护讯息本体,但元资料一旦被大量搜集,就足以描绘出一个人的生活轨迹。”他提醒用户务必提高警觉,定期检查 WhatsApp 公开资料,避免在个人档案中公开不必要的资讯,以降低遭到锁定与分析的风险。
