WhatsApp: Pesquisadores criam agenda telefônica com todos os 3,5 bilhões de usuários

Pesquisadores de segurança da Universidade de Viena e da SBA Research fizeram uma demonstração perturbadora das possibilidades de coleta de dados no WhatsApp. A equipe conseguiu desmascarar todos os 3,5 bilhões de usuários usando o recurso de descoberta de contatos do mensageiro. Na verdade, esse recurso destina-se a verificar os contatos do seu próprio catálogo de endereços.

Os pesquisadores exploraram uma enorme vulnerabilidade de segurança, que já foi fechada. Eles descobriram que a interface não tinha limites de taxa suficientes para as consultas. Em teoria, isso permitiu que eles procurassem 100 milhões de números de telefone por hora. Simplesmente foram examinados intervalos completos de números telefônicos. O estudo foi finalmente publicado em Githube os cientistas apresentarão mais resultados e análises detalhadas no Simpósio de Segurança de Redes e Sistemas Distribuídos (NDSS), que será realizado em San Diego de 23 a 27 de fevereiro de 2026.

Esse estudo produziu um enorme banco de dados de aproximadamente 3,5 bilhões de contas ativas do WhatsApp em todo o mundo. A API (interface de programação de aplicativos) do WhatsApp forneceu metadados publicamente disponíveis assim que um número foi identificado como registrado. Isso incluía fotos de perfil, atualizações de status e informações sobre a última vez que um usuário esteve on-line. Também foi possível obter detalhes técnicos, como a distribuição de sistemas operacionais. Por exemplo, os dados mostram que cerca de 81% dos usuários em todo o mundo usam Android, enquanto o iOS é responsável por cerca de 19%.

Os pesquisadores também compararam esses dados com o enorme vazamento de dados do Facebook de 2021. 58% dos números que vazaram naquela época ainda estão ativos hoje. Isso ilustra o quanto esses conjuntos de dados enormes podem continuar valiosos, mesmo anos depois. Mesmo em países com censura rigorosa da Internet e bloqueios do WhatsApp, milhões de usuários ativos foram identificados. foram identificadas 2.333.519 contas com números de telefone chineses. Até mesmo na Coreia do Norte, pelo menos cinco números de telefone foram vinculados a uma conta do WhatsApp.

A Meta foi informada da vulnerabilidade e, desde então, respondeu implementando limites rígidos de taxa, de modo que as consultas em massa nessa velocidade não devem mais ser possíveis. Embora a empresa tenha declarado que não há evidências de exploração da vulnerabilidade por terceiros, uma análise completa de tais tentativas no passado é tecnicamente quase impossível. O método em si é conhecido nos círculos de segurança, e é por isso que o uso anterior e não detectado por outros agentes é pelo menos uma possibilidade.

Além disso, um detalhe técnico fornece informações sobre o mundo sombrio do WhatsApp. Em operação normal, cada instalação do aplicativo gera um par de chaves criptográficas exclusivo, que forma a base para a criptografia de ponta a ponta e garante a identidade do dispositivo. No entanto, os pesquisadores descobriram grupos de números de telefone usando a mesma chave pública, algo que deveria ser tecnicamente impossível ao usar o aplicativo oficial em dispositivos físicos. Essa reutilização de chaves sugere fortemente o uso de software não oficial. Essas ferramentas são usadas com frequência em "fazendas de cliques" ou para bots de marketing, em que os operadores copiam identidades de segurança idênticas para muitas contas diferentes, seja por motivos de eficiência ou devido a uma implementação defeituosa. Isso não apenas expõe contas falsas, mas também demonstra que esses clientes não oficiais podem prejudicar enormemente a arquitetura de segurança do messenger.