พบช่องโหว่ความปลอดภัยใน WhatsApp

 (univie.ac.at)
1 คะแนน โดย GN⁺ 2025-11-22 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ทีมนักวิจัยจากมหาวิทยาลัยเวียนนา ประเทศออสเตรีย และ SBA Research ค้นพบ ช่องโหว่ด้านความเป็นส่วนตัวขนาดใหญ่ ใน กลไกการค้นหารายชื่อติดต่อ ของ WhatsApp ที่สามารถไล่ตรวจสอบบัญชีได้ 3.5 พันล้านบัญชี
  • นักวิจัยพิสูจน์แล้วว่าสามารถ ค้นหาเบอร์โทรศัพท์ได้มากกว่า 100 ล้านหมายเลขต่อชั่วโมง และ Meta ได้ร่วมมือกับนักวิจัยเพื่อแก้ไขปัญหาดังกล่าว
  • ข้อมูลที่รวบรวมได้ประกอบด้วย หมายเลขโทรศัพท์, public key, timestamp และข้อมูลโปรไฟล์ที่ตั้งค่าเป็นสาธารณะ ซึ่งสามารถใช้อนุมาน ระบบปฏิบัติการ, อายุบัญชี และจำนวนอุปกรณ์ที่เชื่อมต่อ ได้
  • ผลการวิเคราะห์พบว่า แม้ใน ประเทศที่ WhatsApp ถูกสั่งห้ามใช้งาน (เช่น จีน อิหร่าน และเมียนมา) ก็ยังมีบัญชีที่ใช้งานอยู่หลายล้านบัญชี และยืนยันการกระจายตัวทั่วโลกที่ Android 81% และ iOS 19%
  • งานวิจัยนี้แสดงให้เห็นว่า เพียงการวิเคราะห์ metadata ก็ยังมีความเสี่ยงต่อการเปิดเผยข้อมูลส่วนบุคคล และตอกย้ำ ความสำคัญของงานวิจัยความปลอดภัยที่ต่อเนื่องและเป็นอิสระ

พบช่องโหว่ในการค้นหารายชื่อติดต่อของ WhatsApp

  • นักวิจัยยืนยันว่าฟีเจอร์ contact discovery ของ WhatsApp ซึ่งใช้สมุดรายชื่อของผู้ใช้เพื่อค้นหาผู้ใช้อื่น สามารถถูกใช้เพื่อ ยิงคำขอหมายเลขโทรศัพท์ได้มากกว่า 100 ล้านหมายเลขต่อชั่วโมง
    • ทำให้สามารถระบุ บัญชีที่ใช้งานอยู่มากกว่า 3.5 พันล้านบัญชีใน 245 ประเทศ
    • การที่ระบบรองรับคำขอจำนวนมากเช่นนี้จากแหล่งเดียวถูกมองว่าเป็นข้อบกพร่องเชิงการออกแบบของระบบ
  • ข้อมูลที่เข้าถึงได้รวมถึง หมายเลขโทรศัพท์, public key, timestamp, รูปโปรไฟล์สาธารณะ และข้อความแนะนำตัว ซึ่งสามารถนำไปอนุมาน ประเภทของระบบปฏิบัติการ, ช่วงเวลาสร้างบัญชี และจำนวนอุปกรณ์ที่เชื่อมต่ออยู่ ได้

ผลการวิจัยสำคัญ

  • แม้ใน ประเทศที่ WhatsApp ถูกแบนอย่างเป็นทางการ (จีน, อิหร่าน, เมียนมา) ก็ยังพบบัญชีที่ใช้งานอยู่หลายล้านบัญชี
  • สัดส่วนอุปกรณ์ทั่วโลก อยู่ที่ Android 81% และ iOS 19% พร้อมพบความแตกต่างของ พฤติกรรมการเปิดเผยข้อมูลส่วนตัวในแต่ละภูมิภาค (เช่น การเปิดรูปโปรไฟล์หรือการใช้ข้อความแนะนำตัว)
  • ในบางกรณีพบ การใช้กุญแจเข้ารหัสซ้ำ ซึ่งบ่งชี้ถึงความเป็นไปได้ของการใช้ไคลเอนต์ไม่เป็นทางการหรือการใช้งานเชิงฉ้อโกง
  • ในหมายเลขโทรศัพท์ 500 ล้านหมายเลขที่อยู่ใน เหตุข้อมูลรั่วไหลของ Facebook ปี 2021 พบว่าประมาณครึ่งหนึ่งยังคงใช้งานอยู่บน WhatsApp
    • นี่หมายความว่าหมายเลขที่รั่วไหลยังคง เสี่ยงต่อความเสียหายต่อเนื่อง เช่น สายหลอกลวง

การจัดการข้อมูลและผลกระทบด้านความปลอดภัย

  • ในกระบวนการวิจัย ไม่มีการเข้าถึงเนื้อหาข้อความ และข้อมูลทั้งหมดที่เก็บรวบรวมได้ถูก ลบทิ้งก่อนเผยแพร่
  • แม้ end-to-end encryption ของ WhatsApp จะปกป้องเนื้อหาข้อความ แต่ metadata ไม่ได้อยู่ในขอบเขตการปกป้องนั้น
  • นักวิจัยยืนยันว่า การเก็บรวบรวมและวิเคราะห์ metadata ในวงกว้างเพียงอย่างเดียวก็อาจก่อให้เกิดความเสี่ยงต่อการละเมิดความเป็นส่วนตัวได้

ความร่วมมือกับ Meta และมาตรการตอบสนอง

  • งานวิจัยนี้ดำเนินการตามหลัก responsible disclosure และรายงานผลต่อ Meta ทันที
  • หลังจากนั้น Meta ได้เพิ่มมาตรการตอบสนอง เช่น การจำกัดอัตราคำขอ (rate-limiting) และ การเพิ่มความเข้มงวดในการเข้าถึงข้อมูลโปรไฟล์
  • Meta ขอบคุณนักวิจัยสำหรับความร่วมมือ และยอมรับว่า เทคนิคการไล่ตรวจสอบบัญชีแบบใหม่ (enumeration) นี้ก้าวข้ามขีดจำกัดของระบบป้องกันเดิม
    • ผลการวิจัยยังช่วย ตรวจสอบประสิทธิภาพของระบบป้องกันการสแครปข้อมูล ของบริษัทด้วย
    • ไม่พบกรณีการนำไปใช้ในทางที่เป็นอันตราย และ ข้อความของผู้ใช้ยังคงได้รับการปกป้องอย่างปลอดภัย

ภูมิหลังของงานวิจัยและงานต่อเนื่อง

  • บทความวิจัยฉบับนี้เป็น งานวิจัยด้านความปลอดภัยของแอปส่งข้อความชิ้นที่สาม จากมหาวิทยาลัยเวียนนาและ SBA Research โดยวิเคราะห์ ความเป็นไปได้ของการเปิดเผยข้อมูลส่วนบุคคลจากข้อบกพร่องด้านการออกแบบและการนำไปใช้จริง ของ WhatsApp และ Signal
  • งานวิจัยก่อนหน้า:
    • “Careless Whisper” (RAID 2025) : พิสูจน์ว่าสามารถอนุมานรูปแบบกิจกรรมของผู้ใช้จาก silent delivery receipts ของ WhatsApp ได้
    • “Prekey Pogo” (USENIX WOOT 2025) : วิเคราะห์จุดอ่อนด้านการนำไปใช้จริงใน กลไกการแจกจ่าย prekey ของ WhatsApp
  • งานวิจัยครั้งนี้ “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy” ขยายแนวทางดังกล่าวด้วยการสาธิต ความเป็นไปได้ในการไล่ตรวจสอบผู้ใช้ในระดับทั่วโลก
    • ผลงานวิจัยมีกำหนดนำเสนอในงานประชุม NDSS 2026

ความสำคัญของงานวิจัย

  • นักวิจัยชี้ว่า แม้ระบบที่ดูเป็นผู้ใหญ่แล้วก็ยังอาจมีข้อบกพร่องด้านการออกแบบได้ และเน้นย้ำว่า ความปลอดภัยและความเป็นส่วนตัวต้องได้รับการประเมินซ้ำอย่างต่อเนื่อง
  • งานนี้ชี้ให้เห็นว่า ความร่วมมืออย่างโปร่งใสระหว่างภาควิชาการและอุตสาหกรรม เป็นกุญแจสำคัญต่อการปกป้องผู้ใช้และการป้องกันการนำไปใช้ในทางที่ผิด
  • งานวิจัยนี้ยังเป็นฐานสำคัญสำหรับการทำความเข้าใจ วิวัฒนาการของระบบส่งข้อความและจุดเสี่ยงรูปแบบใหม่ ในระยะยาว

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-11-22
ความคิดเห็นจาก Hacker News
  • จังหวะเหมาะพอดี เราเพิ่งเผยแพร่ RFC เกี่ยวกับ วิธีการจับคู่รายชื่อติดต่อ วิธีนี้ทนทานต่อการโจมตีแบบ enumeration attack แต่ก็แลกมากับการลดความสามารถในการค้นพบ (discovery) ตอนนี้กำลังเปิดรับฟีดแบ็กอยู่ ลองดูได้ที่ — Contact Import RFC
    • ฉันก็เคยดู Private Set Intersection เหมือนกันตอนทำปัญหาคล้าย ๆ กัน (ลิงก์วิกิ) เรื่องนี้เกี่ยวข้องกับ Zero Knowledge Proofs และสามารถป้องกันการโจมตีได้ตั้งแต่ต้นทางเพราะไม่ต้องแชร์หมายเลขโทรศัพท์แบบ plaintext อย่างไรก็ตาม วิธีนี้อาจเกินความจำเป็น และด้วยเทคโนโลยีปัจจุบันก็อาจมีข้อจำกัดด้านการขยายระบบ
    • RFC พูดถึงความปลอดภัย แต่ไม่ได้กล่าวถึง ความเป็นส่วนตัว สุดท้ายแล้วก็ยังเป็นโครงสร้างที่ต้องเชื่อใจเซิร์ฟเวอร์หรืออินสแตนซ์อยู่ดี ถ้าใช้แฮชแทนหมายเลขจริงก็น่าจะดี แต่จะทำให้ตรวจสอบหมายเลขไม่ได้ จึงป้องกันการ spoofing ได้ยาก อาจใช้แนวทางที่มี บุคคลที่สามที่เชื่อถือได้ อย่าง EFF หรือ Let’s Encrypt มาตรวจสอบหมายเลข แล้วให้แอปดึงมาเฉพาะแฮช
    • ดีใจที่มีคนหยิบเรื่องนี้มาพูดในจังหวะนี้ แอปของฉันก็กำลังจะเพิ่มการซิงก์รายชื่อติดต่อเหมือนกัน เลยกำลังคิดเรื่อง ความปลอดภัยและความเป็นส่วนตัว อยู่ ไม่ทราบว่ามีแผนจะเปิด RFC นี้เป็นโอเพนซอร์สหรือไม่
  • ส่วนที่อ้างในบทความน่าสนใจมาก ตอนข้อมูลรั่วไหลของ Facebook ในปี 2021 หมายเลขโทรศัพท์ 500 ล้านหมายเลขที่ถูกเปิดเผยนั้น ครึ่งหนึ่งยังคง ใช้งานอยู่บน WhatsApp สิ่งนี้แสดงให้เห็นว่าหมายเลขที่รั่วไหลอาจถูกนำไปใช้กับ สายสแปมหรือการหลอกลวง ได้นานหลายปี ดูเหมือนว่า ‘ครึ่งชีวิต’ ของหมายเลขโทรศัพท์จะอยู่ราว 4~5 ปี
    • ฉันแปลกใจที่คนอเมริกันใช้เบอร์เดิมตั้งแต่เด็กจนโตเป็นผู้ใหญ่ เมื่อก่อนฉันเคยเปลี่ยนเบอร์ทุกปี
  • ช่องโหว่นี้เกิดจากเอนด์พอยต์ที่ใช้ตรวจสอบได้ว่า หมายเลขโทรศัพท์บางหมายเลขเชื่อมกับบัญชี WhatsApp หรือไม่ มันเปิดให้สอบถามได้แทบทุกหมายเลข แต่ก็ไม่ได้ดูเป็นช่องโหว่ใหญ่อะไร
    • แต่ฉันสงสัยว่าทำไมถึงเปิดให้ตรวจสอบการมีอยู่ของบัญชีด้วยหมายเลขโทรศัพท์ได้ สำหรับอีเมลนั้นเรื่องแบบนี้ถือเป็น การละเมิดความเป็นส่วนตัว แล้วทำไมเบอร์โทรถึงเป็นข้อยกเว้น ฉันไม่เข้าใจ
    • ช่วงนี้ฉันได้รับ SMS ฟิชชิง จากชื่ออย่าง “WatApp”, “whtas app” บ่อยมาก ดูเหมือนการรั่วไหลแบบนี้จะช่วยเพิ่มประสิทธิภาพให้ผู้โจมตี ข้อความพวกนี้ส่งมาแบบไม่มีหมายเลขให้บล็อกด้วย
    • จริง ๆ แล้วสำหรับคนอย่างฉัน นี่เป็น ฟีเจอร์ที่สะดวก ฉันสามารถเอาเบอร์ช่างประปาที่หาเจอจากอินเทอร์เน็ตไปใส่ใน WhatsApp ถ้ามีโปรไฟล์ก็ส่งข้อความได้ทันที ถ้าไม่มีก็โทรหรือส่ง SMS แทน
  • นี่ไม่ถึงกับเป็นการรั่วไหลครั้งใหญ่ แต่เป็นเพียงกรณีที่ผู้ใช้สร้าง โปรไฟล์สาธารณะ ไว้แล้วสามารถค้นหาด้วยหมายเลขได้ นักวิจัยแค่สุ่มค้นหาหมายเลขแล้วรวบรวมข้อมูลที่เปิดเผยสู่สาธารณะเท่านั้น ไม่ใช่ข้อมูลส่วนตัว Facebook แค่ไม่ได้ใส่ rate limit เลยทำให้เก็บข้อมูลได้ในระดับใหญ่ แต่ข้อมูลนั้นก็เป็นข้อมูลสาธารณะอยู่แล้ว การเอาข้อมูลอ่อนไหวไปใส่ในโปรไฟล์สาธารณะก็เป็นเรื่องการตัดสินใจของผู้ใช้เอง
  • นี่เป็นหนึ่งในเรื่องที่น่าเสียดายที่สุด มนุษยชาติเคยมีโอกาสได้มี เมสเซนเจอร์ส่วนตัวที่ได้รับความนิยมที่สุด แต่ในปี 2014 เงิน 19 พันล้านดอลลาร์ทำให้ Brian Acton ตาพร่า สิ่งที่เขาทำกับ Signal ตอนนี้ไม่อาจชดเชย ราคาที่ขายความเชื่อใจของผู้ใช้หลายพันล้านคน ไปได้
    • สหภาพยุโรปควรจะขัดขวางดีลนี้ บริษัทที่ไม่มีโมเดลหารายได้ไม่น่ามีมูลค่าถึง 19 พันล้านดอลลาร์ และสิ่งที่ Facebook ต้องการก็คือ ข้อมูลผู้ใช้ แต่กลับไปพอใจกับเรื่องอย่างการบังคับใช้ USB-C แทน จนน่าหดหู่
  • นี่เป็นปัญหา การไล่หมายเลขโทรศัพท์ (enumeration) ล้วน ๆ ไม่ใช่บั๊กของโค้ด แต่เป็นฟังก์ชันที่ออกแบบไว้ จึงเรียกว่า ‘ช่องโหว่ด้านความปลอดภัย’ ได้ไม่เต็มปาก
    • แต่เอนด์พอยต์ที่อ่อนไหวและ ไม่มี rate limiting เลยแม้แต่น้อย ก็อาจนับเป็นข้อบกพร่องได้
    • แค่สามารถตรวจสอบได้ว่าหมายเลขเดียวมีบัญชีอยู่หรือไม่ ก็ถือเป็น การละเมิดความเป็นส่วนตัว แล้ว ถ้าบริการนั้นเป็นเว็บไซต์ไม่เหมาะสมหรือมีความอ่อนไหว การรู้ได้จากแค่เบอร์ว่าใครสมัครไว้หรือไม่ถือเป็นปัญหาร้ายแรง และความเสี่ยงยิ่งเพิ่มขึ้นเมื่อข้อมูลนี้ถูกทำให้เป็นอัตโนมัติจนใช้ ทำโปรไฟล์ ได้
    • ถ้าส่งคำขอได้ระดับ 100 ล้านครั้งต่อวินาที นั่นมัน เหลือเชื่อจริง ๆ
  • เช้านี้ฉันพบว่าตัวเองถูก ล็อกเอาต์จาก WhatsApp กะทันหัน พอลองล็อกอินใหม่กลับไม่ได้รับ SMS ยืนยัน โชคดีที่ยังรับรหัสกู้คืนผ่านตัวเลือก “รับสายโทรศัพท์” ได้ แต่เพราะไม่ได้ตั้ง 2FA PIN ไว้ การกู้คืนเลยติดขัด และก็ไม่ได้ตั้งอีเมลกู้คืนไว้ด้วย ตอนนี้เลยต้องรอ 7 วัน มันแปลกมากที่ยังเป็นเจ้าของเบอร์เดิมอยู่แท้ ๆ แต่กลับกู้บัญชีไม่ได้ ขอแนะนำอย่างยิ่งให้ทุกคนตั้งค่า 2FA และอีเมลกู้คืน
    • ถ้ากู้บัญชีได้ด้วยแค่หมายเลขโทรศัพท์อย่างเดียว กลับจะเป็น ความเสี่ยงด้านความปลอดภัย เพราะเมื่อมีการจัดสรรหมายเลขใหม่ ผู้ใช้คนใหม่อาจได้รับช่วงบทสนทนาและรายชื่อติดต่อของเจ้าของเดิมไปด้วย
  • เรื่องนี้คล้ายกับ งานวิจัยการค้นหารายชื่อติดต่อของ WhatsApp, Telegram, Signal ที่เผยแพร่ในปี 2020 (ลิงก์) สุดท้ายแล้วสิ่งที่ป้องกันไม่ให้ไล่ครบทั้งชุดหมายเลขโทรศัพท์ทั้งหมดได้ก็คือ rate limit ฝั่งเซิร์ฟเวอร์ เท่านั้น เลยสงสัยว่าข้อจำกัดของแต่ละเมสเซนเจอร์เพียงพอหรือไม่
  • ฉันเคยมีส่วนร่วมกับงานวิจัยแบบนี้มาก่อน รายการคำนำหน้ามือถือแยกตามประเทศ มีประโยชน์มาก แต่หาลิงก์ของ libphonegen ที่อ้างถึงไม่เจอ
  • แก่นของเรื่องคือ ความเสี่ยงจากการรวมศูนย์ของบริการรับส่งข้อความ จริง ๆ การรวมศูนย์เป็นปัญหาในทุกวงการ แต่ผู้ใช้ก็ยังต้องการ ความสะดวกและการเชื่อมรวม อยู่ดี และการทำสิ่งนี้ให้เกิดขึ้นบนระบบกระจายศูนย์นั้นยากมาก
    • ฉันอดคิดไม่ได้ว่าถ้าเริ่มต้นแบบเปิดเหมือนอีเมลตั้งแต่แรกจะเป็นอย่างไร ถ้าในยุค 90 เราถามกันว่า “ขอ public key หน่อย?” แทน “อีเมลอะไร?” ป่านนี้เราอาจอยู่ใน ยูโทเปียดิจิทัล ไปแล้วก็ได้
    • SimpleX Chat ดูเป็นตัวอย่างที่ผสาน ความปลอดภัยและการกระจายศูนย์ ได้ค่อนข้างดี
    • พูดตรง ๆ ในแง่ความสามารถทางเทคนิค ฉัน ไว้ใจ Meta มากกว่ารัฐบาล เสียอีก โครงการดิจิทัลของภาครัฐล้มเหลวบ่อยมาก และถึงจะวิจารณ์ FAANG แค่ไหน ก็ใช่ว่าจะทำผลงานได้ดีกว่าพวกเขา
    • ฉันเพิ่งอ่าน เธรด Matrix ที่ขึ้นหน้าแรกของ HN ไปเมื่อกี้ ซึ่งก็เป็นการถกเถียงในบริบทเดียวกัน