При смене номера телефона можно увидеть чужие сообщения в WhatsApp - «Новости»

Xakep #237. Даркнет 2018

• Содержание выпуска


• Подписка на «Хакер»

Сотрудница компании Amazon Эбби Фуллер (Abby Fuller) обратила внимание сообщества на интересную недоработку в мессенджере WhatsApp. Установив приложение на свой новый смартфон, с новым номером телефона девушка с удивлением обнаружила в мессенджере сообщения предыдущего владельца данного номера. Фуллер тут же задалась вопросом, как это возможно, и означает ли это, что новый владелец ее старого номера телефона так же может прочитать ее историю сообщений?

logged into whatsapp with a new phone number today and the message history from the previous number's owner was right there?! this doesn't seem right.

— Abby Fuller (@abbyfuller) January 11, 2019

Фуллер подчеркнула, что ее смартфон и SIM-карта были абсолютно новыми, не были куплены с рук, и до этого на устройство никогда не устанавливали WhatsApp. Обнаруженные Фуллер сообщения не были зашифрованы, но это была и не полная история всех чатов (вероятно, девушка обнаружила непрочитанные сообщения, отправленные данному аккаунту уже после смены номера и не дошедшие до владельца, так как историю зашифрованных сообщений на своих серверах мессенджер хранить не должен ).

Вскоре в комментариях к посту Фуллер появились сообщения от других пользователей, которые тоже сталкивались с подобным поведением приложения, то есть это не единичный случай.

Тем не менее, скорее всего, речь идет не о какой-то уязвимости. Дело в том, что WhatsApp не получает уведомлений от сотовых операторов и «не знает» о том, что тот или иной номер телефона более не обслуживается или сменил владельца. По этой причине разработчики рекомендуют пользователям удалять старые аккаунты WhatsApp и использовать функцию Change number в настройках. Если пользователь пренебрегает данными советами, согласно официальной документации, в таком случае все непрочитанные сообщения окончательно удаляются через 45 дней неактивности учетной записи.

Фуллер уверяет, что в ее случае прошло куда больше 45 дней, а это можно означать, что заявленный срок не соблюдается строго, или механизм автоматического удаления сообщений содержит некий баг, из-за которого недоставленные сообщения хранятся гораздо дольше положенного. В любом случае, специалисты сходятся во мнении, что обнаруженная Фуллер проблема – это серьезная брешь в безопасности WhatsApp, из-за которой множество пользователей, сами того не зная, могут пострадать от утечки данных.