WhatsApp 침해로 인해 수십억 명의 사용자 번호가 노출되어 해커가 전 세계의 개인 프로필 및 암호화 키에 접근할 수 있게 되었습니다.
- WhatsApp에는 전 세계적으로 메타데이터 스크래핑 위험에 노출된 35억 개의 활성 계정이 있습니다.
- 연락처 검색 결함으로 인해 전화번호가 전 세계적으로 대규모로 나열될 수 있었습니다.
- 수백만 개의 암호화 키가 계정 간에 재사용되어 보안 가정이 훼손되었습니다.
WhatsApp 사용자는 잠재적으로 문제가 있는 발견 이후 자신의 계정 정보를 보호하기 위해 추가 조치를 취해야 할 수도 있습니다.
비엔나 대학교 연구진의 연구에 따르면 앱의 연락처 검색 시스템을 통해 글로벌 엔드포인트 간 속도 제한이 부족하여 전례 없는 규모로 광범위한 WhatsApp 사용자 데이터를 수집할 수 있었던 것으로 나타났습니다.
연구원들은 대량의 전화번호, 공개 프로필 사진, 계정 상태 텍스트, 비즈니스 태그 및 엔드투엔드 암호화 키와 연결된 정보를 수집할 수 있었습니다.
대규모 데이터 수집 방법
데이터 세트에는 중국, 이란, 미얀마, 북한 등 WhatsApp이 금지된 국가의 사용자가 포함되어 있어 엄격한 국가 통제와 암호화 도구에 대한 접근이 제한된 지역의 사람들을 식별할 수 있습니다.
연구팀은 자동화된 번호 생성 도구를 사용하여 200개 이상의 국가에서 600억 개 이상의 가능한 모바일 번호를 생성했습니다.
그런 다음 리버스 엔지니어링 프로토콜을 사용하여 WhatsApp 서버와 비교하여 각 번호를 확인했습니다.
이 방법은 공식 앱을 통하지 않고 WhatsApp의 인프라에 직접 쿼리하는 수정된 오픈 소스 클라이언트에 의존했습니다.
이 프로세스는 차단되지 않고 초당 수천 개의 숫자를 검증했으며, 2012년과 2021년에 이전에 문서화된 열거 문제를 반복했습니다.
수집된 데이터에는 타임스탬프, 장치 정보, 공개 암호화 키, 사용 패턴을 전 세계 지역에 걸쳐 매핑할 수 있는 메타데이터가 포함되었습니다.
각 키는 고유해야 한다는 기대에도 불구하고 암호화 키가 여러 계정에서 재사용되는 경우가 수백만 건에 달했습니다.
일부 키는 완전히 0으로 구성되어 핵심 애플리케이션이 아닌 타사 클라이언트에 의한 잘못된 구현을 나타냅니다.
WhatsApp의 엔지니어링 부사장인 Nitin Gupta는 Cyberinsider에 보낸 성명에서 다음과 같이 말했습니다.
“우리는 버그 바운티 프로그램에 대한 책임감 있는 파트너십과 근면에 대해 비엔나 대학교 연구원들에게 감사드립니다. 이 협력을 통해 우리가 의도한 한계를 초과하는 새로운 열거 기술을 성공적으로 식별하여 연구원들이 공개적으로 사용 가능한 기본 정보를 수집할 수 있게 되었습니다. 우리는 이미 업계 최고의 긁힘 방지 시스템에 대해 작업하고 있었으며 이 연구는 스트레스 테스트와 이 중요한 연구의 효과를 확인하는 데 매우 중요했습니다. 연구의 일부로 수집된 데이터에서 삭제되었으며 악의적인 행위자가 이 벡터를 남용하는 증거는 발견되지 않았습니다. 사용자 메시지는 기본적으로 종단 간 암호화 덕분에 비공개로 안전하게 유지되었으며 연구자들은 비공개 데이터에 접근할 수 없었습니다.
Meta는 메시지가 보호된 상태로 유지된다고 주장했지만 연구원들은 공개 키를 재사용하면 엔드투엔드 암호화의 신뢰 모델이 약화된다고 주장했습니다.
회사는 공개 후 2025년 10월에 더 강력한 요금 상한제를 시행했으며 나중에 무단 미디어 복구를 허용하는 Apple 장치에 대한 별도의 문제를 해결했습니다.
WhatsApp은 2025년 초까지 약 35억 개의 활성 계정에 도달하여 역사상 가장 많이 사용되는 커뮤니케이션 플랫폼 중 하나가 되었습니다.
안전을 유지하는 방법
- 공개 프로필 필드에 표시되는 내용을 제한하고 상태 메시지에 링크를 게시하지 마세요.
- 더 나은 계정 보호를 위해 강력한 비밀번호를 사용하고 2단계 인증을 활성화하세요.
- 바이러스 백신 소프트웨어를 최신 상태로 유지하여 위협이 계정에 영향을 미치기 전에 이를 포착하세요.
- 신원 도용 방지 서비스를 사용하여 의심스러운 활동이나 데이터 오용을 모니터링하십시오.
- 알 수 없는 연락처를 차단하고 비정상적인 행동이 있는지 정기적으로 계정 활동을 검토하세요.
- 악의적인 네트워크 액세스와 의심스러운 연결을 방지하려면 방화벽을 활성화하십시오.
- 비공식 WhatsApp 클라이언트를 피하고 가능한 한 빨리 공식 앱을 업데이트하세요.
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰 및 의견을 받으십시오. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도