Beveiligingsonderzoekers van SBA Research en de Universiteit van Wenen hebben ontdekt dat WhatsApp nog steeds vatbaar is voor grootschalige nummer-enumeratie. In hun studie wisten ze meer dan 100 miljoen telefoonnummers per uur te controleren en zo 3,5 miljard actieve WhatsApp-accounts te bevestigen. Het lek is inmiddels gedicht, na melding aan Meta.
In een recent gepubliceerd onderzoeksrapport met de titel Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy beschrijven wetenschappers hoe WhatsApp’s contactenontdekking (Contact Discovery) misbruikt kon worden om wereldwijd telefoonnummers te scannen. Via het systeem dat WhatsApp gebruikt om te checken welke contacten de applicatie gebruiken, konden de onderzoekers – met toestemming van Meta in het kader van verantwoordelijke melding – meer dan 100 miljoen telefoonnummers per uur bevragen.
Volgens het onderzoek konden de onderzoekers op deze manier bevestigen dat er wereldwijd zo’n 3,5 miljard WhatsApp-accounts actief zijn in 245 landen. Naast alleen het bestaan van die accounts konden de onderzoekers ook openbare metadata verzamelen: het ging om telefoonnummers, publieke cryptografische sleutels, tijdstempels en (als gebruikers dit hadden ingesteld) profielfoto’s en “About”-teksten.
Met de verzamelde gegevens konden de onderzoekers verder analyseren welke besturingssystemen gebruikers gebruiken, hoe oud hun accounts zijn en hoeveel secundaire apparaten (zoals WhatsApp Web) gekoppeld zijn aan een account. Een opvallende bevinding was dat in sommige gevallen X25519-cryptografiesleutels werden hergebruikt door verschillende apparaten of telefoonnummers, wat mogelijk wijst op onveilige implementaties van niet-officiële WhatsApp-clients of frauduleus gebruik.
Daarnaast onthult het onderzoek dat bijna de helft van de telefoonnummers die in 2021 gelekt waren uit een Facebook-datalek nog steeds actief zijn op WhatsApp. Dit onderstreept de blijvende kwetsbaarheid van gebruikers met gelekte nummers, bijvoorbeeld voor oplichting of spam.
Belangrijk om te benadrukken is dat de onderzoekers nooit toegang hadden tot de inhoud van berichten: WhatsApp’s end-to-end encryptie bleef onaangetast. Na ontdekking van de kwetsbaarheid hebben de onderzoekers hun bevindingen gedeeld met Meta, waarna WhatsApp maatregelen trof: er is onder meer strengere rate-limiting ingevoerd en de zichtbaarheid van profielinformatie is aangescherpt.
De studie toont aan dat zelfs goed beveiligde platforms zoals WhatsApp blijvend risico kunnen lopen op privacy-problemen door metadata. Volgens de onderzoekers bewijst dit dat onafhankelijke, wetenschappelijke controle essentieel is om de veiligheid van miljoenen gebruikers te waarborgen.