35亿WhatsApp用户的手机号泄露：一个简单功能造成的超级数据泄露

只需不断向WhatsApp的“联系人发现”功能输入电话号码，就能批量扒出全球用户的手机号、头像甚至个人简介？听起来像黑客电影桥段，但奥地利维也纳大学的研究团队真的做到了——他们通过自动化脚本，在未绕过任何防护的情况下，成功枚举出35亿个WhatsApp注册号码，覆盖全球绝大多数活跃用户。这一发现被研究人员称为“有史以来记录在案的最广泛的电话号码和相关用户数据泄露事件”。

这项研究的核心并不依赖高深漏洞或零日攻击，而是利用了WhatsApp一项看似无害的基础功能：当你在通讯录中添加一个电话号码时，只要对方使用WhatsApp，应用就会自动显示其账户状态，通常还包括个人资料照片、昵称以及“关于我”的文本简介。这一设计极大提升了用户体验——找朋友变得无比简单。但问题在于，如果将这个逻辑规模化、自动化，后果就变得极其危险。

维也纳大学的研究人员正是这么做的。他们编写了一个网络爬虫程序，系统性地向WhatsApp的浏览器版接口发送海量电话号码查询请求。由于平台长期缺乏有效的速率限制机制，他们的脚本每小时可验证约1亿个号码。在短短几天内，他们便完成了对全球几乎所有有效国际电话号段的扫描，最终提取出35亿个已注册WhatsApp的电话号码。

更令人震惊的是，对于其中约57%的用户（即近20亿人），研究人员还能获取其公开的个人资料照片；另有29%的用户（超10亿人）的“关于我”文本也被成功抓取。这些数据虽属于用户“主动公开”的范畴，但在如此大规模聚合后，其潜在危害远超个体隐私范畴——它构成了一个覆盖全球三分之一人口的、高度结构化的身份数据库。

事实上，这并非首次有人指出该风险。早在2017年，荷兰安全研究员Loran Kloeze就曾发表博文，演示如何通过类似方法枚举WhatsApp用户号码并获取头像与在线状态。当时他警告，若结合人脸识别技术，这些数据可能被用于构建大规模身份追踪系统。然而，Meta（当时仍称Facebook）并未将其视为高危漏洞，甚至拒绝为其颁发漏洞赏金，理由是“隐私设置按预期工作”。

八年过去，Meta似乎仍未彻底解决这一问题。维也纳大学团队表示，在2024年4月进行实验时，他们几乎未遇到任何反爬或限速措施。“半小时之内，我们就得到了大约3000万个美国号码，”研究员加布里埃尔·格根胡伯（Gabriel Gegenhuber）回忆道，“我们当时相当惊讶。然后我们就继续枚举下去。”

研究人员按国家统计了数据公开比例，结果令人深思：在WhatsApp普及率更高的国家，用户反而更少启用隐私保护。例如，在印度近7.5亿枚举号码中，62%的账户公开显示头像；在巴西2.06亿号码中，61%公开头像；而在美国1.37亿号码中，也有44%用户展示照片、33%填写了公开简介。这说明，便捷性往往以牺牲隐私为代价，而普通用户对此风险普遍缺乏认知。

更值得警惕的是，此类数据泄露可能被用于非法监控。研究人员特别指出，在一些官方禁止或限制使用WhatsApp的国家，仍有大量用户注册该服务——包括中国的230万个号码和缅甸的160万个。在某些地区，仅因手机安装WhatsApp就可能导致用户被拘押。一旦政府机构掌握此类枚举技术，便可轻易识别“违规用户”，进而实施打压。

除了社会与政治风险，研究还意外发现一个加密层面的异常现象：部分WhatsApp账户使用了重复的加密密钥。在端到端加密协议中，每个用户应拥有唯一的长期公钥，用于接收加密消息。但研究人员发现，某些密钥被数百个不同号码重复使用，甚至有20个美国号码使用了全零密钥。虽然团队推测这很可能是由于用户使用了非官方、篡改版的WhatsApp客户端（如GB WhatsApp等），而非官方应用本身存在缺陷，但这一现象仍构成安全隐患——理论上，拥有相同密钥的第三方可解密发送给目标用户的消息。进一步分析显示，这些异常账户多与诈骗活动相关，暗示地下黑产正利用存在加密漏洞的客户端实施犯罪。

面对研究团队的披露，Meta于2024年10月终于上线了更严格的速率限制措施，有效阻断了大规模枚举行为。WhatsApp工程副总裁Nitin Gupta在声明中感谢研究人员通过“漏洞赏金计划”提交发现，并强调：“用户消息始终受端到端加密保护，此次泄露不涉及任何私密通信内容。”他还表示，公司一直在开发“业界领先的反抓取系统”，而这项研究“对于压力测试和验证新防御措施的即时有效性至关重要”。

然而，研究人员反驳称，在整个数据采集过程中，他们从未遭遇所谓“防御措施”。Meta此前声称已部署基于机器学习的爬虫识别系统，但显然未能阻止此次大规模枚举。这暴露出一个更深层的问题：电话号码本身就不适合作为数十亿级互联网服务的身份标识符。

“电话号码最初并非设计用来作为账户的秘密标识符，但实际上却被这样使用，”研究员阿尔约沙·朱德迈尔（Alois Jüdemaier）指出，“如果你有一个被全球超过三分之一人口使用的大型服务，而这又是发现账户的唯一机制，那就存在根本性缺陷。”

值得期待的是，WhatsApp目前已开始测试“用户名”功能，允许用户通过自定义ID而非手机号添加好友。这一改变有望从根本上切断电话号码与社交身份的强绑定，大幅提升隐私保护水平。但在此之前，数十亿用户的数据仍暴露在历史遗留架构的风险之下。

这场“用最朴素的方法干最狠的事”的研究，再次揭示了一个残酷现实：在数字时代，最大的安全威胁往往不是来自复杂的攻击，而是源于对基础设计假设的盲目信任。便捷与隐私，从来都是一对难解的矛盾。而当一款应用连接起全球三分之一的人口时，哪怕一个微小的设计疏忽，也可能演变成一场席卷世界的隐私海啸。

对普通用户而言，最直接的防护措施是立即检查WhatsApp隐私设置：进入“设置 > 隐私”，将“个人资料照片”“关于我”“最后上线时间”等选项设为“仅限我的联系人”或“无人”。虽然无法阻止号码被枚举，但至少能避免头像和简介被陌生人获取。

而对于整个行业，这一事件敲响了警钟：在设计面向十亿级用户的产品时，必须重新审视那些“理所当然”的交互逻辑——因为敌人不需要攻破你的防火墙，他们只需要你妈妈点一个赞，或者你随手晒一张带定位的照片。

参考来源：https://www.wired.com/story/a-simple-whatsapp-security-flaw-exposed-billions-phone-numbers/

声明：本文来自网空闲话plus，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。