WhatsApp: Forskare skapar telefonbok med alla 3,5 miljarder användare

Säkerhetsforskare från University of Vienna och SBA Research har gett en oroande demonstration av möjligheterna för datainsamling på WhatsApp. Teamet lyckades avmaskera alla 3,5 miljarder användare med hjälp av messengerens kontaktupptäckningsfunktion. Den här funktionen är faktiskt avsedd att kontrollera kontakter från din egen adressbok.

Forskarna utnyttjade en massiv säkerhetssårbarhet, som sedan dess har stängts. De upptäckte att gränssnittet inte hade tillräckliga hastighetsgränser för förfrågningar. I teorin gjorde detta att de kunde leta upp 100 miljoner telefonnummer per timme. Kompletta telefonnummerområden undersöktes helt enkelt. Studien publicerades i slutändan på Githuboch forskarna kommer att presentera ytterligare resultat och detaljerade analyser vid Network and Distributed System Security (NDSS) Symposium, som äger rum i San Diego den 23-27 februari 2026.

Denna studie gav en enorm databas med cirka 3,5 miljarder aktiva WhatsApp-konton över hela världen. WhatsApps API (application programming interface) tillhandahöll offentligt tillgängliga metadata så snart ett nummer identifierades som registrerat. Detta inkluderade profilbilder, statusuppdateringar och information om när en användare senast var online. Tekniska detaljer kunde också utläsas, till exempel distributionen av operativsystem. Uppgifterna visar t.ex. att ca 81% av användarna i världen använder Android, medan iOS står för ca 19%.

Forskarna jämförde också dessa data med den massiva Facebook-dataläckan från 2021. 58% av de nummer som läckte ut vid den tidpunkten är fortfarande aktiva idag. Detta illustrerar hur värdefulla sådana massiva dataset kan vara, även flera år senare. Även i länder med strikt internetcensur och WhatsApp-blockeringar identifierades miljontals aktiva användare. 2 333 519 konton med kinesiska telefonnummer identifierades. Även i Nordkorea var minst fem telefonnummer kopplade till ett WhatsApp-konto.

Meta informerades om sårbarheten och har sedan dess svarat genom att implementera strikta hastighetsgränser, så massförfrågningar med denna hastighet borde inte längre vara möjliga. Även om företaget uppgav att det inte finns några bevis för att tredje part utnyttjar sårbarheten, är en fullständig granskning av sådana försök tidigare tekniskt nästan omöjligt. Själva metoden är känd i säkerhetskretsar, varför tidigare, oupptäckt användning av andra aktörer åtminstone är en möjlighet.

Dessutom ger en teknisk detalj insikter i WhatsApps skuggvärld. Under normal drift genererar varje installation av appen ett unikt kryptografiskt nyckelpar, som utgör grunden för end-to-end-kryptering och säkerställer enhetens identitet. Forskarna upptäckte dock kluster av telefonnummer som använde samma offentliga nyckel, något som borde vara tekniskt omöjligt när man använder den officiella appen på fysiska enheter. Denna återanvändning av nycklar tyder starkt på användning av inofficiell programvara. Sådana verktyg används ofta i "klickfarmer" eller för marknadsföringsrobotar, där operatörer kopierar identiska säkerhetsidentiteter till många olika konton, antingen av effektivitetsskäl eller på grund av felaktig implementering. Detta avslöjar inte bara falska konton utan visar också att dessa inofficiella klienter i hög grad kan undergräva budbärarens säkerhetsarkitektur.