آسیب پذیری API واتساپ

مقاله بازنویسی شده: آسیب‌پذیری API واتساپ: افشای ۳.۵ میلیارد شناسه کاربری و درس‌هایی برای امنیت زیرساخت

مقدمه: امنیتی در ظاهر و حفره‌ای در باطن

واتساپ، محبوب‌ترین پیام‌رسان جهان، به لطف رمزنگاری سرتاسری و احراز هویت دومرحله‌ای، ظاهری بسیار امن دارد. اما تحقیقات اخیر نشان داد که یک ضعف زیرساختی منجر به افشای اطلاعات حیاتی حدود ۳.۵ میلیارد حساب کاربری فعال شد. این رخداد زنگ خطری جدی برای توسعه‌دهندگان پلتفرم‌های مقیاس بزرگ، قانون‌گذاران و کاربران است. این آسیب‌پذیری پیام‌ها را افشا نکرد، اما در فراداده (Metadata) و مکانیسم‌های جستجوی پلتفرم ریشه داشت.

 مکانیسم شناسایی شماره‌ها: نقص در API Contact Discovery

نقص اصلی در قابلیت «جستجوی مخاطبین» (Contact Discovery) واتساپ قرار دارد. این ویژگی، به اپلیکیشن اجازه می‌دهد تا از سرور واتساپ بپرسد: “آیا این شماره تلفن، یک حساب کاربری فعال واتساپ دارد؟”

تیمی از محققان دانشگاه وین و SBA Research، با استفاده از این قابلیت، شماره‌های تلفن فعال را در سطح جهانی استخراج کردند:

1. تولید شماره: محققان ابزاری ساختند که ۶۳ میلیارد شماره تلفن معتبر در ۲۴۵ کشور را تولید کند.

2. استفاده از API استاندارد: آن‌ها این شماره‌ها را به طور متوالی و انبوه به سرور واتساپ ارسال کردند.

3. نرخ اجرای بالا: این فرآیند از طریق تنها یک سرور و پنج سِشِن انجام شد و سرعت آن به ۷۰۰۰ شماره در ثانیه در هر سِشِن رسید.

4. فقدان کنترل: زیرساخت واتساپ محدودیت نرخ (Rate-Limiting) کافی اعمال نکرد. همچنین IPهای محققان را مسدود نکرد و هشدار فعالیت مشکوک نداد.

نتیجه این آزمایش، تأیید ۳.۵ میلیارد حساب کاربری فعال بود. این کار همچنین فراداده‌های عمومی مثل تصویر پروفایل (حدود ۵۷%) و متن «درباره من» (حدود ۲۹%) را افشا کرد.

 چرا افشای فراداده تا این حد اهمیت دارد؟

فراداده‌ها و شناسه‌های عمومی، اطلاعات ناچیزی نیستند. این اطلاعات در مقیاس بزرگ، می‌توانند منجر به حملات بسیار مخربی شوند:

۱. پروفایل‌سازی و پیوند هویت

 

شماره تلفن به تنهایی می‌تواند به فردی خاص لینک شود. هنگامی که محققان این شماره را با تصویر پروفایل و متن «درباره من» ترکیب کردند، امکان پروفایل‌سازی در مقیاس انبوه را فراهم ساختند. این پروفایل‌ها سوخت اصلی حملات فیشینگ هدفمند و مهندسی اجتماعی هستند.

۲. ریسک‌های سیاسی و منطقه‌ای

 

این استخراج، میلیون‌ها حساب فعال در کشورهایی که واتساپ در آن‌ها ممنوع یا تحت نظارت است (مانند ایران و چین) را تأیید کرد. این امر نگرانی‌های جدی درباره مانیتورینگ دولتی و هدف قرار دادن فعالان در این مناطق ایجاد می‌کند.

۳. پایداری ارزش داده‌ها

 

داده‌های استخراج‌شده برای مدت طولانی ارزشمند می‌مانند. ۵۸ درصد از شماره‌هایی که در نشت داده متای فیسبوک در سال ۲۰۲۱ لو رفتند، همچنان در سال ۲۰۲۵ در واتساپ فعال بودند. خطر افشای شماره‌ها به سرعت از بین نمی‌رود.

 ریشه آسیب‌پذیری: معماری و طراحی API

 

چندین عامل فنی و طراحی باعث شد این ضعف ادامه پیدا کند:

• شماره تلفن به عنوان شناسه اصلی: استفاده از شماره تلفن به عنوان یک شناسه منحصر به فرد در مقیاس میلیاردی، یک ضعف ذاتی است. شماره‌ها ساختارمند و قابل جستجو هستند.

• نبود محدودیت نرخ (Rate-Limiting): مهم‌ترین عامل فنی، شکست زیرساخت واتساپ در اجرای مکانیزم‌های قوی محدودیت نرخ در API بود. این نقص مستقیماً با ضعف در پیکربندی امنیتی سرور (System Hardening) مرتبط است.

• معاوضه بین کاربری و امنیت: واتساپ جستجوی مخاطبین را برای سادگی استفاده ضروری می‌دانست. اما این معاوضه به قیمت افشای انبوه فراداده‌ها تمام شد.

 پاسخ و اقدامات بعدی (توصیه‌های روت نت)

واتساپ پس از اطلاع‌رسانی، محدودیت‌های نرخ بیشتری را اعمال کرد. با این حال، این رخداد درس‌های کلیدی زیر را برای پلتفرم‌ها و سازمان‌ها دارد:

• اهمیت Rate-Limiting: توسعه‌دهندگان پلتفرم‌ها باید بدانند که محدودیت نرخ و سقف درخواست‌های API حیاتی است. این اقدام اولین خط دفاعی در برابر حملات استخراج داده در مقیاس بالا است.

• شناسه‌های مقاوم‌تر: برای خدمات مقیاس‌پذیر، شناسه‌های کمتر قابل حدس و ساختارمند (مثل شناسه مبتنی بر نام کاربری) استفاده کنید.

• حساسیت فراداده‌ها: فراداده‌ها را به اندازه محتوای رمزگذاری‌شده، ارزشمند و حساس تلقی کنید.

• تنظیم مقررات: این حادثه لزوم بازنگری در قوانین را برای پوشش دادن افشای فراداده‌ها در مقیاس بزرگ نشان می‌دهد.