WhatsApp में मिली सुरक्षा कमजोरी

 (univie.ac.at)
1 पॉइंट द्वारा GN⁺ 2025-11-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • ऑस्ट्रिया की University of Vienna और SBA Research के शोधकर्ताओं ने WhatsApp के contact discovery mechanism में एक बड़े पैमाने की privacy vulnerability खोजी, जिसके जरिए 3.5 अरब अकाउंट enumerate किए जा सकते थे
  • शोधकर्ताओं ने साबित किया कि प्रति घंटे 10 करोड़ से अधिक phone numbers query किए जा सकते हैं, और Meta ने शोधकर्ताओं के साथ मिलकर इस समस्या को ठीक किया
  • इकट्ठा किए जा सकने वाले डेटा में phone number, public key, timestamp, और publicly visible profile information शामिल थे, जिनसे operating system, account age, और connected devices की संख्या का अनुमान लगाया जा सकता था
  • विश्लेषण में पाया गया कि जिन देशों में WhatsApp पर प्रतिबंध है (जैसे China, Iran, Myanmar) वहाँ भी लाखों active accounts मौजूद हैं, और Android 81% बनाम iOS 19% का वैश्विक वितरण सामने आया
  • यह शोध दिखाता है कि सिर्फ metadata analysis से भी privacy exposure का जोखिम मौजूद है, और लगातार तथा स्वतंत्र security research के महत्व पर जोर देता है

WhatsApp contact discovery vulnerability का खुलासा

  • शोधकर्ताओं ने पुष्टि की कि WhatsApp का contact discovery फीचर, जो उपयोगकर्ता की address book के आधार पर अन्य उपयोगकर्ताओं को खोजता है, ऐसी संरचना रखता था कि प्रति घंटे 10 करोड़ से अधिक phone numbers query किए जा सकते थे
    • इसके जरिए 245 देशों में 3.5 अरब से अधिक active accounts की पहचान की गई
    • एक ही source से इतने अधिक requests को संभाल पाना system design flaw का संकेत माना गया
  • जिन डेटा तक पहुँचना संभव था उनमें phone number, public key, timestamp, और public profile photo व bio शामिल थे, जिनसे operating system का प्रकार, account creation time, और linked devices की संख्या का अनुमान लगाया जा सकता था

प्रमुख शोध निष्कर्ष

  • जिन देशों में WhatsApp आधिकारिक रूप से प्रतिबंधित है (China, Iran, Myanmar) वहाँ भी लाखों active accounts मौजूद हैं
  • वैश्विक device ratio Android 81% और iOS 19% पाया गया, और क्षेत्रीय privacy disclosure behavior (जैसे profile photo public रखना, bio का उपयोग करना आदि) में अंतर देखा गया
  • कुछ मामलों में cryptographic key reuse पाया गया, जो unofficial clients या fraudulent use की संभावना की ओर इशारा करता है
  • 2021 Facebook data leak में शामिल 50 करोड़ phone numbers में से लगभग आधे अब भी WhatsApp पर active पाए गए
    • इसका मतलब है कि leaked numbers अब भी scam calls जैसी secondary harm के जोखिम में हैं

डेटा प्रोसेसिंग और सुरक्षा प्रभाव

  • शोध के दौरान message content तक पहुँच नहीं की गई, और एकत्रित सभी डेटा को public disclosure से पहले delete कर दिया गया
  • WhatsApp का end-to-end encryption message content की रक्षा करता है, लेकिन metadata इसकी सुरक्षा के दायरे में नहीं आता
  • शोधकर्ताओं ने पुष्टि की कि metadata का बड़े पैमाने पर collection और analysis भी privacy breach का जोखिम पैदा कर सकता है

Meta के साथ सहयोग और उठाए गए कदम

  • यह शोध responsible disclosure के सिद्धांतों के तहत किया गया और नतीजे तुरंत Meta को रिपोर्ट किए गए
  • इसके बाद Meta ने rate-limiting और profile information access को सख्त करने जैसे उपाय लागू किए
  • Meta ने शोधकर्ताओं के सहयोग के लिए आभार जताया और माना कि नई enumeration technique ने मौजूदा defense limits को पार कर लिया था
    • शोध निष्कर्षों ने उसके anti-scraping systems की effectiveness को validate करने में भी योगदान दिया
    • malicious abuse का कोई मामला नहीं मिला, और user messages सुरक्षित रूप से संरक्षित रहे

शोध की पृष्ठभूमि और आगे का काम

  • यह पेपर University of Vienna और SBA Research द्वारा किया गया तीसरा messenger security study है, जो WhatsApp और Signal में design और implementation स्तर पर privacy exposure की संभावना का विश्लेषण करता है
  • पिछले शोध:
    • “Careless Whisper” (RAID 2025) : WhatsApp के silent delivery receipts का उपयोग करके user activity patterns का अनुमान लगाया जा सकता है, यह साबित किया गया
    • “Prekey Pogo” (USENIX WOOT 2025) : WhatsApp के prekey distribution mechanism में implementation weaknesses का विश्लेषण किया गया
  • मौजूदा शोध “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy” इस शोध धारा को आगे बढ़ाते हुए वैश्विक स्तर पर user enumeration की संभावना को व्यावहारिक रूप से दिखाता है
    • शोध परिणाम NDSS 2026 में प्रस्तुत किए जाने की योजना है

शोध का महत्व

  • शोधकर्ताओं ने कहा कि mature systems में भी design flaws हो सकते हैं, और security व privacy की लगातार पुनर्समीक्षा आवश्यक है
  • academic और industry के बीच पारदर्शी सहयोग को user protection और abuse prevention के लिए महत्वपूर्ण बताया गया
  • यह शोध messaging systems के विकास और नए risk points को दीर्घकालिक रूप से समझने की नींव प्रदान करता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-11-22
Hacker News की राय
  • समय सच में काफ़ी सही है। हमने हाल ही में contact matching method पर एक RFC जारी किया है। यह तरीका enumeration attack के खिलाफ़ मज़बूत है, लेकिन उसी अनुपात में discovery कम हो जाती है। अभी feedback ले रहे हैं, इसलिए देख सकते हैं — Contact Import RFC
    • मैंने भी इसी तरह की समस्या पर काम करते हुए Private Set Intersection देखा था (wiki link)। यह Zero Knowledge Proofs से जुड़ा है, और फ़ोन नंबरों को plaintext में शेयर किए बिना हमले को मूल रूप से रोक सकता है। हालांकि, यह तरीका ज़रूरत से ज़्यादा भारी हो सकता है और मौजूदा तकनीक में scalability की सीमा हो सकती है
    • RFC में security की बात है, लेकिन privacy का ज़िक्र नहीं है। आख़िरकार यह ऐसी संरचना है जिसमें server या instance पर भरोसा करना पड़ता है। असली नंबर की जगह hash इस्तेमाल करना अच्छा होगा, लेकिन तब नंबर verification संभव नहीं रहेगा, इसलिए spoofing रोकना मुश्किल हो जाएगा। EFF या Let’s Encrypt जैसे trusted third party नंबर verify करें और app सिर्फ hash ले, ऐसा मॉडल भी संभव लगता है
    • यह बात सही समय पर उठाने के लिए अच्छा लगा। मेरा app भी जल्द contact sync जोड़ने वाला है, इसलिए security और privacy दोनों पर सोच रहा हूँ। क्या इस RFC को open source के रूप में जारी करने की कोई योजना है, यह जानना चाहूँगा
  • लेख में उद्धृत हिस्सा दिलचस्प है। 2021 के Facebook data leak में उजागर हुए 50 करोड़ फ़ोन नंबरों में से आधे अब भी WhatsApp पर active थे। इससे दिखता है कि लीक हुए नंबर कई साल तक spam calls या fraud के निशाने पर रह सकते हैं। लगता है फ़ोन नंबरों की ‘half-life’ लगभग 4–5 साल है
    • यह देखकर हैरानी होती है कि अमेरिका में लोग बचपन में मिला नंबर बड़े होने के बाद भी वही रखते हैं। मैं पहले लगभग हर साल नंबर बदलता था
  • यह vulnerability उस endpoint की वजह से थी जिससे पता लगाया जा सकता था कि कोई खास फ़ोन नंबर WhatsApp account से जुड़ा है या नहीं। लगभग हर नंबर के लिए query की जा सकती थी, लेकिन यह बहुत बड़ी vulnerability नहीं लगती
    • लेकिन यह सवाल है कि फ़ोन नंबर से account existence verify करने की सुविधा क्यों होनी चाहिए। email address के मामले में इसे privacy violation माना जाता है, तो फ़ोन नंबर को अपवाद क्यों माना जाए, यह समझ नहीं आता
    • हाल में “WatApp”, “whtas app” जैसे नामों से आने वाले phishing SMS बहुत मिल रहे हैं। ऐसे leaks की वजह से शायद हमलों की efficiency बढ़ गई है। ये ऐसे संदेश होते हैं जो बिना नंबर दिखाए आते हैं, इसलिए block करना भी मुश्किल है
    • सच कहूँ तो मेरे जैसे लोगों के लिए यह convenient feature है। इंटरनेट पर मिले किसी plumber का नंबर WhatsApp में डालकर देख लेता हूँ; profile हो तो सीधे message भेजता हूँ, नहीं हो तो call या SMS करता हूँ
  • यह किसी बड़े leak से ज़्यादा, ऐसी स्थिति थी जहाँ user ने public profile बना रखा था और नंबर से search किया जा सकता था। शोधकर्ताओं ने बस random नंबर query करके public जानकारी इकट्ठी की; यह private data नहीं था। Facebook ने rate limit नहीं लगाया, इसलिए बड़े पैमाने पर संग्रह संभव हुआ, लेकिन जानकारी वैसे भी public थी। संवेदनशील जानकारी public profile पर डालना user की अपनी पसंद का मामला है
  • यह सबसे दुखद बातों में से एक है। मानवता के पास सबसे लोकप्रिय private messenger रखने का मौका था, लेकिन 2014 में 19 अरब डॉलर की रकम ने Brian Acton की आँखें बंद कर दीं। अब Signal में जो काम हो रहा है, उससे अरबों users के trust को बेचने की कीमत वापस नहीं चुकाई जा सकती
    • EU को यह deal रोकनी चाहिए थी। बिना किसी revenue model वाली कंपनी का 19 अरब डॉलर का valuation समझ से बाहर था, और Facebook की नज़र user data पर थी। लेकिन उसकी जगह USB-C अनिवार्य करने जैसी चीज़ों से संतोष कर लिया गया, जो निराशाजनक है
  • यह बस phone number enumeration की समस्या है। यह code defect नहीं बल्कि घोषित feature था, इसलिए इसे ‘security vulnerability’ कहना थोड़ा अटपटा है
    • लेकिन बिल्कुल भी rate limiting न होना किसी sensitive endpoint में defect माना जा सकता है
    • अगर सिर्फ एक नंबर से भी account existence verify हो सकता है, तो यह privacy violation है। अगर वह service अनुचित या sensitive nature की हो, तो सिर्फ नंबर से signup status पता चल जाना गंभीर समस्या है। इसे automate करके profiling तक संभव हो सकती है, यही ख़तरा है
    • अगर प्रति सेकंड 10 करोड़ request तक संभव थीं, तो वह सच में पूरी तरह बेतुका स्तर है
  • आज सुबह अचानक पता चला कि मैं WhatsApp से logout हो गया हूँ। दोबारा login करने की कोशिश की, लेकिन verification SMS नहीं आया। शुक्र है “receive by phone” विकल्प से recovery code मिल गया। लेकिन मैंने 2FA PIN सेट नहीं किया था, इसलिए recovery अटक गई, और email recovery भी सेट नहीं थी। अब 7 दिन का इंतज़ार चल रहा है। नंबर अब भी मेरा ही है, फिर भी account recover न कर पाना अजीब है। मैं सभी users को 2FA और recovery email सेट करने की ज़ोरदार सलाह देता हूँ
    • अगर सिर्फ फ़ोन नंबर के आधार पर account recover किया जा सके, तो वह उल्टा security risk होगा। नंबर दोबारा allocate होने पर नया user पुराने user की chats और contacts विरासत में पा सकता है
  • यह 2020 में प्रकाशित WhatsApp, Telegram, Signal के contact discovery paper जैसा है (link)। आख़िरकार पूरे phone number set को enumerate होने से रोकने का एकमात्र तरीका server-side rate limit ही है। दिलचस्प है कि हर messenger की सीमा वास्तव में पर्याप्त है या नहीं
  • मैंने पहले ऐसे शोध में हिस्सा लिया था। देशवार mobile phone prefix list बहुत काम की थी। हालांकि, संदर्भित libphonegen link नहीं मिल पाया
  • असली मुद्दा messaging services के centralization risk का है। सच तो यह है कि centralization किसी भी क्षेत्र में समस्या है, लेकिन users अब भी convenience और integration चाहते हैं। इसे distributed system में लागू करना वाकई बहुत कठिन है
    • कभी-कभी सोचता हूँ कि अगर शुरुआत email की तरह खुले मॉडल से हुई होती तो क्या होता। अगर 90 के दशक में “तुम्हारा email address क्या है?” की जगह “तुम्हारी public key क्या है?” पूछा जाता, तो शायद आज हम digital utopia में रह रहे होते
    • SimpleX Chat security और decentralization को काफ़ी अच्छी तरह जोड़ने वाला उदाहरण लगता है
    • ईमानदारी से कहूँ तो तकनीकी क्षमता के मामले में मुझे सरकार की तुलना में Meta पर ज़्यादा भरोसा है। सरकार की digital projects में failure rate ऊँची रहती है, और FAANG की आलोचना करना आसान है, लेकिन उनसे बेहतर नतीजे देना मुश्किल है
    • अभी HN के मुख्य पेज पर आया Matrix thread पढ़ा, और वह भी इसी संदर्भ की चर्चा थी