روایتی از آسیبپذیریهای پنهان واتساپ که بیسروصدا حریم خصوصی میلیاردها کاربر را میخورد.پژوهشگران دانشگاه وین کشف کردند واتساپ و سیگنال با یک شماره تلفن، الگوی زندگی روزانه شما را لو میدهند. بدون هک، بدون نفوذ، فقط با ردیابی بیصدای زمان برخط بودن. چرا متا بیش از یک سال برای رفع این مشکل زمان برد؟ راهنمای […]
روایتی از آسیبپذیریهای پنهان واتساپ که بیسروصدا حریم خصوصی میلیاردها کاربر را میخورد.
پژوهشگران دانشگاه وین کشف کردند واتساپ و سیگنال با یک شماره تلفن، الگوی زندگی روزانه شما را لو میدهند. بدون هک، بدون نفوذ، فقط با ردیابی بیصدای زمان برخط بودن. چرا متا بیش از یک سال برای رفع این مشکل زمان برد؟ راهنمای کامل حفظ حریم خصوصی در پیامرسانها.
سالهاست واتساپ به ما میگوید نگران نباشیم. پیامهایتان رمزگذاری سرتاسری دارند. هیچکس نمیتواند بخواند. امن است.
این حرف درست است. اما کامل نیست.
پیامهایمان شاید امن باشند، اما خود زندگیمان چطور؟
تازهترین کشفیات پژوهشگران امنیتی از دانشگاه وین داستان دیگری تعریف میکنند. واتساپ و سیگنال، دو پیامرسانی که میلیاردها نفر بهشان اعتماد کردهاند، شکافهایی دارند که میتوانند الگوی زندگی روزانهی ما را بدون هیچ سروصدایی لو بدهند. نه با نفوذ، نه با دزدی رمز عبور، نه با دسترسی به گوشی. فقط با یک شماره تلفن.
تیم پژوهشی دانشگاه وین و مؤسسه تحقیقاتی امنیت سایبری اتریش در یک پروژهی پنجماهه، توانستند از طریق سازوکار یافتن مخاطب در واتساپ، بیش از صد میلیون شماره تلفن در ساعت را بررسی کنند. آنها در این مدت شصتوسه میلیارد شماره تلفن احتمالی را در دویستوچهلوپنج کشور پرسیدند و توانستند اطلاعات سه میلیارد و نیم حساب کاربری فعال را استخراج کنند.
بگذارید این عدد را یکبار دیگر بگویم: سه میلیارد و نیم.
این یعنی تقریباً نیمی از جمعیت کره زمین.
پژوهشگران نه فقط شمارههای تلفن را کشف کردند، بلکه به اطلاعات دیگری هم رسیدند:
نکتهی تلختر: نزدیک به نیمی از شمارههایی که در نشت اطلاعات فیسبوک سال ۱۴۰۰ (که از یک حادثهی جمعآوری خودکار دادهها در ۱۳۹۷ ناشی شده بود) لو رفتند، هنوز روی واتساپ فعال بودند. این یعنی خطرات بلندمدت برای شمارههای افشاشده — از جمله هدف گرفتن در تماسهای کلاهبرداری.
اما ماجرا فقط به استخراج شمارهها ختم نمیشود. پژوهشگران در تحقیق دیگری نشان دادند که میتوان فعالیت کاربران واتساپ و سیگنال را لحظهبهلحظه و کاملاً پنهانی ردیابی کرد.
وقتی شما یک پیام میفرستید، برنامه پیامرسان بهطور خودکار یک «رسید تحویل» به فرستنده برمیگرداند. این کار برای اطمینان از رسیدن پیام است و کاملاً عادی به نظر میرسد.
اما نکته اینجاست: با فرستادن پیامهای واکنش به شناسههای پیام نامعتبر یا غیرموجود، ردیاب رسیدهای تحویلی را دریافت میکند که زمان رفتوبرگشت سیگنال را نشان میدهند.
این زمانهای رفتوبرگشت اطلاعات شگفتانگیزی دربارهی وضعیت دستگاه شما میدهند:
یکی از پژوهشگران در فضای رِدیت توضیح داد: «توانستم هر پنجاه هزارم ثانیه یکبار بررسی بفرستم بدون اینکه هدف چیزی ببیند — نه پنجرهی بازشو، نه اعلان، نه پیام، هیچ چیز قابل دیدنی در صفحه».
بگذارید این را سادهتر بگویم: کسی میتواند بیست بار در ثانیه دستگاه شما را «بپرسد» و شما اصلاً متوجه نشوید. در طول زمان، میشود از این برای فهمیدن رفتار استفاده کرد: چه زمانی احتمالاً در خانه هستید (زمان پایدار وایفای)، چه زمانی احتمالاً میخوابید (طولانیترین دورههای آمادهبهکار یا خاموش)، چه زمانی بیرون هستید و در حال حرکت (الگوهای زمانی اینترنت موبایل).
با نظارت مداوم، مهاجمان میتوانند:
در طول آزمایش، پژوهشگران به نرخ تخلیه باتری چهارده تا هجده درصد در ساعت روی گوشیهای آیفون و پانزده درصد روی دستگاههای سامسونگ رسیدند — در مقایسه با مصرف معمولی کمتر از یک درصد در ساعت.
مهاجمان همچنین میتوانند تا سیزده گیگابایت و سیصد مگابایت حجم اینترنت در ساعت با ارسال بستههای واکنش بزرگ مصرف کنند، که میتواند بدون اطلاع قربانیان، کل بسته اینترنت آنها را تمام کند.
الگوهای زمانی سیستمعاملها را از طریق ترتیب رسید شناسایی میکنند. روی واتساپ اندروید و آیاوس جدا هستند، روی مکاواس پشت سر هم و معکوس. حتی میتوان تشخیص داد که از چیپست کوالکام استفاده میکنید یا اگزینوس.
محققان یافتههای خود را فوراً به متا گزارش دادند که از آن زمان اقدامات مقابلهای (مانند محدودسازی تعداد درخواست، محدودیتهای سختگیرانهتری برای دیدن اطلاعات نمایه) را برای بستن آسیبپذیری شناساییشده اجرا کرده است.
اما واقعیت تلختر است:
پژوهشگران یافتههای خود را در پنجم شهریور ۱۴۰۳ به مسئولین امنیتی هر دو پیامرسان فرستادند. در بیستوچهارم شهریور ۱۴۰۳، از متا تأیید گرفتند که نتایج به تیم توسعه منتقل شده، اما تا الان هیچ پاسخ اساسی دریافت نکردهاند. در هجدهم مرداد ۱۴۰۴، بیش از یازده ماه پس از گزارش اولیه، دوباره اطلاعاتی گرفتند که گزارش توسط تیم امنیتی بررسی و به بخش مربوطه ارجاع شده است.
بیش از یک سال طول کشید تا این مشکلات حداقل تا حدی رسیدگی شوند. برای شرکتی با منابع متا، این سرعت نگرانکننده است.
علیرغم اطلاعرسانی در سال ۱۴۰۳، نه متا و نه بنیاد سیگنال این نقص را در سطح پروتکل وصله نکردهاند. سیگنال محدودیتهای تعداد درخواست سختگیرانهتری اعمال میکند که خطر تخلیه باتری و حجم اینترنت را کاهش میدهد، اما رسیدهای تحویل همچنان صادر میشوند.
چند روز پیش، یک کاربر گیتهاب ابزاری منتشر کرد که میتواند این حملات را پیادهسازی کند. این ابزار:
تا آذر ۱۴۰۴، این آسیبپذیری در واتساپ و سیگنال قابل بهرهبرداری باقی مانده است.
این یعنی الان، در این لحظه، هر کسی با دانش فنی متوسط میتواند این کار را انجام دهد.
۱. کلاهبرداریهای هدفمند
کلاهبرداران دیگر تصادفی پیام نمیفرستند. آنها میدانند:
برای کاربران روزمره، این نشت به معنای خطرات بالاتر مهندسی اجتماعی است. شمارههای تلفن، پس از افشا شدن، میتوانند کمپینهای کلاهبرداری پیامکی را سوخترسانی کنند.
۲. تعقیب دیجیتال
تصور کنید کسی بخواهد بداند:
حالا تصور کنید این اطلاعات بدون هیچ ردی، بدون هیچ اعلانی، و بدون اینکه شما بدانید، جمعآوری شود.
۳. کسبوکارها در معرض خطر
واتساپ بهطور گسترده در داخل کسبوکارها استفاده میشود، هم بهصورت غیررسمی و هم از طریق رابط ابری که پشتیبانی مشتری، تماس فروش از طریق حساب تجاری، و بهطور فزاینده، برای احراز هویت تجارت الکترونیک را ممکن میکند. نگرانی اینجاست که حملات شمارش میتوانند شمارههای تلفن را با کاربران واقعی مرتبط کنند.
راهحلهای فعلی (محدود اما مفید)
برای واتساپ:
مؤثرترین کاهش: مخفی کردن آخرین بازدید و وضعیت برخط خود را برای همه غیر از مخاطبین فعال کنید. این کار حداقل مانع ردیابی عمومی میشود، اگرچه مخاطبین ذخیرهشده همچنان میتوانند وضعیت شما را ببینند.
تنظیمات پیشنهادی:
برای سیگنال:
محدودیتهای نرخ سختگیرانهتر سیگنال به این معنی است که حملههای تخلیه باتری و مصرف حجم اینترنت سختتر هستند، اما ردیابی وضعیت همچنان امکانپذیر است.
تنظیمات پیشنهادی:
پژوهشگران پیشنهادهای روشنی دادند:
۱. تأخیر تصادفی در رسیدها: تاخیر تصادفی ۵-۱۵ ثانیهای را قبل از ارسال رسیدها اضافه کنید. این کار ردیابی لحظهای را بسیار سختتر میکند.
۲. دستهبندی رسیدها: بهجای ارسال فوری، رسیدها را دستهبندی کنید و هر چند دقیقه یکبار بفرستید.
۳. محدودسازی نرخ دقیقتر: پیامهای واکنش را به تعداد معقولی در روز محدود کنید (مثلاً ۱۰۰ تا).
۴. شناسایی الگوهای ردیابی: حجم بالای پیامهای واکنش به شناسههای نامعتبر را شناسایی و مسدود کنید.
۵. احراز هویت دوطرفه: فقط رسیدهای تحویل برای پیامهای واقعی بین کاربران احرازهویتشده ارسال شود.
این داستان فقط درباره واتساپ نیست. دربارهی نگاه ما به حریم خصوصی است.
ما فکر میکنیم اگر پیامها امن باشند، همهچیز امن است. در حالی که زمان برخط بودن، الگوی حضور، و حتی «سکوت» ما، اطلاعاتی هستند که میتوانند علیه خودمان استفاده شوند.
پیامرسانها روی رمزگذاری سرتاسری تمرکز میکنند — که خوب است. اما فراداده (زمان ارسال، الگوی فعالیت، مدت زمان برخط بودن) همانقدر افشاگر است. شاید حتی بیشتر، چون کمتر محافظت میشود.
ادوارد اسنودن سالها پیش گفت: «فراداده شما را کاملاً لو میدهد، حتی بدون دسترسی به محتوا.» امروز، این حرف واقعیتر از همیشه است.
این خبر شاید هیجانانگیز نباشد، اما واقعی و مهم است. نه برای ترسیدن، بلکه برای دقیقتر نگاه کردن.
واتساپ و سیگنال هنوز از امنترین پیامرسانهای موجود هستند. اما امنیت مطلق وجود ندارد. هر سیستمی میتواند بهتر شود.
سؤال اینجاست: چرا باید بیش از یک سال طول بکشد تا یک شرکت با منابع نامحدود، یک آسیبپذیری گزارششده را برطرف کند؟
چرا باید محققان امنیتی مجبور باشند یافتههایشان را علنی کنند تا شرکتها به حرکت درآیند؟
و مهمتر از همه: چرا ما کاربران باید بین راحتی و حریم خصوصی یکی را انتخاب کنیم؟
در دنیای امروز، شماره تلفن فقط یک راه تماس نیست؛ کلید ورود به هویت دیجیتال ماست. و ما حق داریم بدانیم این کلید در دست چه کسانی است.
این گزارش بر اساس یافتههای پژوهشگران دانشگاه وین و مؤسسه تحقیقاتی امنیت سایبری اتریش تهیه شده است.
منابع:
مقاله علمی اصلی (ردیابی بیصدا): Gegenhuber, G., et al. (2024). “Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengers.” Presented at RAID 2025. دسترسی به متن کامل در ArXiv
گزارش رسمی دانشگاه وین (استخراج اطلاعات ۳.۵ میلیارد کاربر): University of Vienna. (2025). “Researchers discover security vulnerability in WhatsApp – Major flaw in contact discovery mechanism.” مطالعه گزارش در وبسایت دانشگاه
