WhatsApp: Onderzoekers maken telefoonboek met alle 3,5 miljard gebruikers

Beveiligingsonderzoekers van de Universiteit van Wenen en SBA Research hebben een verontrustende demonstratie gegeven van de mogelijkheden voor gegevensverzameling op WhatsApp. Het team is erin geslaagd om alle 3,5 miljard gebruikers te ontmaskeren met behulp van de contactzoekfunctie van de messenger. Deze functie is eigenlijk bedoeld om contacten uit uw eigen adresboek te controleren.

De onderzoekers maakten gebruik van een groot beveiligingslek, dat inmiddels is gedicht. Ze ontdekten dat de interface niet voldoende snelheidslimieten voor zoekopdrachten had. Hierdoor konden ze in theorie 100 miljoen telefoonnummers per uur opzoeken. Complete telefoonnummerreeksen werden gewoon onderzocht. Het onderzoek werd uiteindelijk gepubliceerd op Githuben de wetenschappers zullen verdere resultaten en gedetailleerde analyses presenteren op het Network and Distributed System Security (NDSS) Symposium, dat van 23 tot 27 februari 2026 in San Diego plaatsvindt.

Dit onderzoek leverde een enorme database op van ongeveer 3,5 miljard actieve WhatsApp-accounts wereldwijd. De API (application programming interface) van WhatsApp leverde openbaar beschikbare metadata zodra een nummer als geregistreerd werd geïdentificeerd. Deze omvatten profielfoto's, statusupdates en informatie over wanneer een gebruiker voor het laatst online was. Er konden ook technische details worden verzameld, zoals de distributie van besturingssystemen. Uit de gegevens blijkt bijvoorbeeld dat ongeveer 81% van de gebruikers wereldwijd Android gebruikt, terwijl iOS goed is voor ongeveer 19%.

De onderzoekers vergeleken deze gegevens ook met het enorme Facebook datalek uit 2021. 58% van de toen gelekte nummers zijn vandaag de dag nog steeds actief. Dit illustreert hoe waardevol zulke enorme datasets kunnen blijven, zelfs jaren later. Zelfs in landen met strenge internetcensuur en WhatsApp-blokkades werden miljoenen actieve gebruikers geïdentificeerd. er werden 2.333.519 accounts met Chinese telefoonnummers geïdentificeerd. Zelfs in Noord-Korea werden minstens vijf telefoonnummers gekoppeld aan een WhatsApp-account.

Meta werd op de hoogte gesteld van de kwetsbaarheid en heeft sindsdien gereageerd door strikte snelheidslimieten te implementeren, zodat massale query's met deze snelheid niet langer mogelijk zouden moeten zijn. Hoewel het bedrijf verklaarde dat er geen bewijs is van uitbuiting van de kwetsbaarheid door derden, is een volledig overzicht van dergelijke pogingen in het verleden technisch vrijwel onmogelijk. De methode zelf is bekend in beveiligingskringen, daarom is eerder, onopgemerkt gebruik door andere actoren op zijn minst een mogelijkheid.

Bovendien geeft een technisch detail inzicht in de schimmige wereld van WhatsApp. Bij normaal gebruik genereert elke installatie van de app een uniek cryptografisch sleutelpaar, dat de basis vormt voor end-to-end encryptie en de identiteit van het apparaat garandeert. De onderzoekers ontdekten echter clusters van telefoonnummers die dezelfde openbare sleutel gebruikten, iets wat technisch onmogelijk zou moeten zijn bij het gebruik van de officiële app op fysieke apparaten. Dit hergebruik van sleutels wijst sterk op het gebruik van onofficiële software. Dergelijke tools worden vaak gebruikt in "click farms" of voor marketingbots, waarbij operators identieke beveiligingsidentiteiten kopiëren naar veel verschillende accounts, hetzij om efficiëntieredenen of vanwege een foutieve implementatie. Dit legt niet alleen nepaccounts bloot, maar toont ook aan dat deze onofficiële clients de beveiligingsarchitectuur van de messenger enorm kunnen ondermijnen.