WhatsApp惊爆资安漏洞

全球广受使用的通讯软体WhatsApp，近日被揭露存在重大资安漏洞，恐导致35亿笔使用者资料遭到搜集，引发外界高度关注。近日一项研究指出，WhatsApp内建的“联络人比对机制”原本设计用于透过电话号码确认使用者是否在平台上，但由于缺乏有效的查询限制，使得研究人员能以极高速度、几乎不受阻挡地输入大量电话号码，借此确认全球各地帐号存在与否，并撷取公开个资。其母公司“Meta”证实相关问题，并声称已完成修补，强调信息内容加密未遭破坏，但专家提醒，仅靠端对端加密并不足以完全保护个资安全。

综合外媒报道，奥地利维也纳大学及SBA Research研究团队表示，他们建立一套算法，以每秒7000笔速度试探性输入号码，单一小时内即可比对超过一亿组电话，最终确认至少35亿个活跃用户资料，远高于WhatsApp官方宣称的“超过20亿”。

虽然信息内容仍受加密保护，但研究人员强调，这项漏洞暴露的其实是另一层风险：使用者的“元资料”（Metadata）仍可能成为外泄目标，包括电话号码、位置推估、装置型号、帐号注册时间、甚至绑定装置数量等皆可被分析。团队进一步指出，在美国、巴西、墨西哥等国，元资料的精准度足以推算到州别位置，若遭不法份子利用，恐造成钓鱼诈骗、骚扰电话或社交工程攻击等后果。

研究还揭露多项令人警惕的趋势。首先，即使在中国大陆、伊朗、缅甸等官方禁用WhatsApp的国家，仍有“数百万活跃帐号”存在，显示当地民众可能透过翻墙服务绕过限制，若遭政府掌握，恐面临拘留或监控。此外，团队发现2021年Meta重大资料外泄事件中遭曝光的5亿笔电话号码，至今仍有一半以上活跃于WhatsApp，显示长期资安风险尚未解除。

更令人担忧的是，有超过57%帐号具备可辨识的人脸大头照，另有近三成用户在个人简介或连结中透露职业、政治倾向、性倾向及电子邮件等敏感资讯，足以让攻击者建立“反查电话簿”，借由照片辨识交叉比对身份。

对此，WhatsApp工程副总裁Nitin Gupta回应，目前已与研究团队合作修补漏洞，并着手强化防止“资料刮取”（Scraping）的技术，强调研究过程中“没有未授权者滥用此机制”，且研究团队已安全删除测试资料。

不过，研究团队提醒，全球通讯逐渐集中于少数平台一事，本身即可能引发更大规模的隐私风险。维也纳大学研究员Aljosha Judmayer认为：“端对端加密可以保护信息内容，但元资料若被大量搜集与分析，仍足以描绘一个人的生活样貌。”他呼吁大众仍需提高警觉，定期检查公开资讯，尽量避免在个人档案透露不必要细节，以减少落入攻击者瞄准的可能性。