വമ്പന്മാരും ദൗര്‍ബല്യങ്ങളില്‍ വീഴാം! ലളിതമെന്ന് തോന്നാമെങ്കിലും ഗുരുതര സുരക്ഷാ വീഴ്ച; വാട്‌സ്ആപ്പ് ഉപയോക്താക്കള്‍ക്ക് മുന്നറിയിപ്പുമായി സൈബര്‍ സുരക്ഷാ വിദഗ്ധര്‍; സുരക്ഷാ പിഴവ് ചൂഷണം ചെയ്ത് 3.4 ബില്യന്‍ പ്രൊഫൈലുകളുടെ വിവരങ്ങള്‍ ചോര്‍ത്തി; ആകെ ആശ്വാസം മെസേജുകള്‍ തുറക്കാന്‍ കഴിയാത്തതും

വാട്‌സ്ആപ്പ് ഉപയോക്താക്കള്‍ക്ക് ഗുരുതരമായ സുരക്ഷാ മുന്നറിയിപ്പ്! സൈബര്‍ സുരക്ഷാ വിദഗ്ദ്ധര്‍ കണ്ടെത്തിയ ഗുരുതരമായ പിഴവ് കാരണം 3.5 ബില്യണ്‍ വാട്‌സ്ആപ്പ് പ്രൊഫൈലുകളുടെ വിവരം കിട്ടി. ഉപയോക്താക്കളുടെ സന്ദേശങ്ങള്‍ എന്‍ക്രിപ്റ്റഡായി തന്നെ നിലകൊണ്ടെങ്കിലും, വളരെ വലിയ അളവിലുള്ള മെറ്റാഡാറ്റ ശേഖരിക്കാന്‍ കഴിഞ്ഞു.

വിയന്ന യൂണിവേഴ്‌സിറ്റിയിലെയും എസ്ബിഎ റിസര്‍ച്ചിലെയും വിദഗ്ദ്ധരാണ് ഈ സുരക്ഷാ വീഴ്ച കണ്ടെത്തിയത്. വാട്ട്സ്ആപ്പിന്റെ ബില്‍റ്റ്-ഇന്‍ കോണ്‍ടാക്റ്റ് ഡിസ്‌കവറി മെക്കാനിസത്തിലെ (Contact Discovery Mechanism) സുരക്ഷാ വീഴ്ച ചൂഷണം ചെയ്താണ് ഗവേഷകര്‍ വിവരങ്ങള്‍ ചോര്‍ത്തിയത്. സാധാരണയായി, ഒരു ഉപയോക്താവിന്റെ കോണ്‍ടാക്റ്റ് ലിസ്റ്റ് പരിശോധിച്ച് അവരില്‍ ആരെല്ലാം വാട്‌സ്ആപ്പ് ഉപയോഗിക്കുന്നുണ്ടെന്ന് കണ്ടെത്താനാണ് ഈ സംവിധാനം ഉപയോഗിക്കുന്നത്. എന്നാല്‍, ഈ സംവിധാനത്തിന് എത്ര കോണ്‍ടാക്റ്റുകള്‍ തിരയണം എന്നതിന് പരിധി നിശ്ചയിച്ചിരുന്നില്ല. ഈ പിഴവ് മുതലെടുത്ത്, ഗവേഷകര്‍ക്ക് ഓരോ മണിക്കൂറിലും 100 ദശലക്ഷം (10 കോടി) ഫോണ്‍ നമ്പറുകള്‍ തിരയാനും ബില്യണ്‍ കണക്കിന് ഉപയോക്തൃ പ്രൊഫൈലുകള്‍ ആക്‌സസ് ചെയ്യാനും കഴിഞ്ഞു.

സാധാരണയായി, ഇത്രയധികം അഭ്യര്‍ത്ഥനകള്‍ ഒറ്റ ഉറവിടത്തില്‍ നിന്ന് വളരെ ചുരുങ്ങിയ സമയത്തിനുള്ളില്‍ ഒരു സിസ്റ്റം കൈകാര്യം ചെയ്യരുത് എന്ന് ഗവേഷകന്‍ ഗബ്രിയേല്‍ ഗെഗെന്‍ഹ്യൂബര്‍ ചൂണ്ടിക്കാട്ടി.

സന്ദേശങ്ങള്‍ എന്‍ക്രിപ്റ്റ് ചെയ്തിരുന്നതിനാല്‍ അവ ചോര്‍ന്നിട്ടില്ല. എന്നാല്‍, ഗവേഷകര്‍ക്ക് ധാരാളം 'മെറ്റാഡാറ്റ' (Metadata) ശേഖരിക്കാന്‍ സാധിച്ചു.

വ്യക്തിപരമായ വിവരങ്ങള്‍ ചോര്‍ന്നു

ഫോണ്‍ നമ്പറുകള്‍, ഉപയോക്താവിന്റെ ഏകദേശം സ്ഥാനം, ഉപയോഗിക്കുന്ന ഉപകരണത്തിന്റെ തരം (OS), അക്കൗണ്ടിന്റെ പഴക്കം (Age of Account) തുടങ്ങിയവ. യുഎസ്,്, ബ്രസീല്‍, മെക്‌സിക്കോ തുടങ്ങിയ രാജ്യങ്ങളില്‍ ഉപയോക്താവിന്റെ കൃത്യമായ സംസ്ഥാനം വരെ തിരിച്ചറിയാന്‍ ആവശ്യമായ ഡാറ്റ ലഭിച്ചു.

അപകടസാധ്യത

ഈ വിവരങ്ങള്‍ ഉപയോഗിച്ച് ഉപയോക്താക്കളെ തട്ടിപ്പ് കോളുകള്‍ (Scam Calls) വഴിയോ മറ്റ് സൈബര്‍ ആക്രമണങ്ങള്‍ വഴിയോ എളുപ്പത്തില്‍ ലക്ഷ്യമിടാന്‍ സാധിക്കും. സന്ദേശങ്ങള്‍ എന്‍ഡ്-ടു-എന്‍ഡ് എന്‍ക്രിപ്ഷന്‍ വഴി സംരക്ഷിക്കപ്പെടുന്നുണ്ടെങ്കിലും, മെറ്റാഡാറ്റ (ആരാണ്, എപ്പോള്‍, ആര്‍ക്ക് മെസ്സേജ് അയച്ചു എന്ന വിവരങ്ങള്‍) ചോരുന്നത് സ്വകാര്യതയ്ക്ക് വലിയ അപകടമുണ്ടാക്കുമെന്ന് ഡോ. അല്‍ജോഷ ജുഡ്‌മെയര്‍ അഭിപ്രായപ്പെട്ടു.

മറ്റ് ഞെട്ടിക്കുന്ന കണ്ടെത്തലുകള്‍:

ചൈന, ഇറാന്‍, മ്യാന്‍മര്‍ തുടങ്ങിയ ഔദ്യോഗികമായി വാട്ട്സ്ആപ്പ് നിരോധിച്ച രാജ്യങ്ങളില്‍ പോലും ദശലക്ഷക്കണക്കിന് സജീവ വാട്ട്സ്ആപ്പ് അക്കൗണ്ടുകള്‍ ഉള്ളതായി ഗവേഷകര്‍ കണ്ടെത്തി 2021-ലെ ഫേസ്ബുക്ക് ഡാറ്റാ ചോര്‍ച്ചയില്‍ വിവരങ്ങള്‍ പുറത്തായ 500 ദശലക്ഷം ഫോണ്‍ നമ്പറുകളില്‍ പകുതിയോളം ഇപ്പോഴും വാട്ട്സ്ആപ്പില്‍ സജീവമാണ് എന്നും കണ്ടെത്തി. ഈ നമ്പറുകള്‍ ഉപയോഗിക്കുന്നവര്‍ക്ക് ഉയര്‍ന്ന സുരക്ഷാ ഭീഷണിയുണ്ട്. (ഈ ചോര്‍ച്ചയുമായി ബന്ധപ്പെട്ട് അയര്‍ലന്‍ഡിലെ ഡാറ്റാ പ്രൊട്ടക്ഷന്‍ കമ്മീഷന്‍ മെറ്റായ്ക്ക് €265 മില്യണ്‍ പിഴ ചുമത്തിയിരുന്നു.)

വാട്‌സ്ആപ്പ് പ്രതികരണം

ഗവേഷകരുമായി ചേര്‍ന്ന് പ്രവര്‍ത്തിച്ച മെറ്റാ (Meta), ഈ പ്രശ്‌നം പരിഹരിച്ചതായും (addressed and mitigated) സുരക്ഷാ വീഴ്ച അടച്ചതായും എന്‍ജിനീയറിങ് വൈസ് പ്രസിഡന്റ് നിതിന്‍ ഗുപ്ത അറിയിച്ചു.

വാട്‌സ്ആപ്പ് നേരത്തെ തന്നെ മികച്ച നിലവാരത്തിലുള്ള 'ആന്റി-സ്‌ക്രാപ്പിംഗ് സിസ്റ്റങ്ങള്‍' വികസിപ്പിക്കുന്നുണ്ടായിരുന്നു, ഈ പഠനം പുതിയ പ്രതിരോധ സംവിധാനങ്ങളുടെ കാര്യക്ഷമത പരിശോധിക്കാന്‍ സഹായിച്ചു.

ദുരുദ്ദേശ്യപരമായ ഇടപെടല്‍ നടന്നതിന് തെളിവുകളൊന്നും ലഭിച്ചിട്ടില്ല.ഉപയോക്താക്കളുടെ സന്ദേശങ്ങള്‍ സുരക്ഷിതവും സ്വകാര്യവുമായിരുന്നു. എന്‍ഡ്-ടു-എന്‍ഡ് എന്‍ക്രിപ്ഷന്‍ ഒരിക്കലും ചോര്‍ന്നിട്ടില്ല.

ഈ സുരക്ഷാ വീഴ്ച പരിഹരിച്ചെങ്കിലും, ലോകത്തിലെ സന്ദേശമയയ്ക്കല്‍ സേവനം ചില ആപ്പുകളില്‍ കേന്ദ്രീകരിക്കുന്നത് വലിയ സ്വകാര്യതാ വെല്ലുവിളിയാണെന്ന് ഗവേഷകര്‍ മുന്നറിയിപ്പ് നല്‍കുന്നു.