WhatsApp 作为全球领先的即时通讯应用,其 P2P 邻居发现机制本意是为用户便利地识别联系人是否注册,但这一功能却暴露了严重的隐私漏洞。研究人员通过模拟 spoofing 攻击,发现攻击者可以利用未认证的服务器查询,大规模枚举用户账户并采集公开配置文件数据。这种漏洞不仅允许构建未经授权的用户数据库,还可能放大隐私泄露风险,尤其在端到端加密之外的元数据层面。本文将从攻击原理入手,剖析证据,并提供可落地的防御参数和监控清单,帮助开发者与用户规避潜在威胁。
首先,理解漏洞的核心机制。WhatsApp 的联系人发现功能依赖于客户端向服务器发送电话号码查询,确认该号码是否为活跃用户。这一过程本应受速率限制和认证保护,但研究显示,服务器对查询响应过于宽松。攻击者无需真实用户身份,仅通过修改客户端或使用代理工具,即可批量发送查询请求。维也纳大学的研究团队在 2024 年 12 月至 2025 年 4 月期间,针对 245 个国家的电话号码进行了系统化测试,每小时可确认超过 1 亿个活跃账户。这暴露了服务器在处理高频请求时的缺陷:缺乏有效的 IP 绑定或行为分析,导致单一来源的无限查询成为可能。
证据支持这一观点。研究人员收集了约 56.7% 的账户信息,包括个人资料照片、'about' 文本以及与关键更新相关的时戳。其中,29.3% 的 'about' 文本透露敏感内容,如政治观点、宗教信仰或社交媒体链接。此外,还发现了 290 万例公钥复用问题,包括身份密钥和预密钥复用,若被恶意客户端利用,可能破坏端到端加密的安全性。部分账户甚至使用全零密钥,暗示潜在的欺诈或实现缺陷。这些数据并非通过破解加密获取,而是利用公开可访问的元数据,证明了攻击的低门槛性。Meta 公司在 2025 年 4 月通过漏洞赏金项目确认了该问题,并在 10 月部署了限流措施,但研究强调,商业账户和公开资料仍存风险。
进一步分析攻击的影响。未经授权的数据库建设可能用于社会工程攻击、针对性广告或更严重的跟踪行为。例如,在官方禁止 WhatsApp 的国家,如中国(2300 万注册用户)和缅甸(1600 万),这一漏洞放大合规与隐私冲突。攻击者可推断用户行为模式:通过时戳分析在线习惯,或匹配跨平台数据构建详细画像。这不仅侵犯个人隐私,还可能助长网络钓鱼或身份盗用。相比以往的 WhatsApp 漏洞(如 VoIP 缓冲区溢出),此次侧重于 P2P 发现的 spoofing,强调了未认证查询的系统性弱点。
为落地防御,提供具体参数和清单。开发者在实现类似联系人发现时,应设置以下阈值:查询速率限流为每 IP 每分钟 100 次,超出则触发 CAPTCHA 或临时封禁;集成行为分析模型,使用机器学习检测异常模式,如突发高频查询(阈值:单用户日查询 > 1000)。对于用户端,推荐参数包括:隐私设置中禁用公开 'about' 文本和照片,仅限联系人可见;定期审查并重置公钥,避免复用(理想周期:每月一次)。监控清单如下:
-
服务器日志监控:实时追踪查询来源 IP 和频率,警报阈值设为 500 次/小时;使用工具如 ELK Stack 聚合日志,识别 spoofing 模式。
-
客户端防护:启用端到端加密审计,确保公钥唯一性;集成反爬虫模块,如 Cloudflare 的 Bot Management,阻挡自动化查询。
-
用户行为审计:应用内提示用户检查隐私设置;开发仪表盘显示潜在暴露风险,例如“您的资料被查询 X 次”。
-
回滚策略:若检测到大规模攻击,立即切换到哈希-based 发现(使用短加密哈希而非明文号码),并通知受影响用户更新应用。
-
测试清单:模拟攻击环境,使用工具如 Burp Suite 测试查询边界;覆盖 10% 号码池,验证限流有效性。
这些措施可将攻击成功率降至 5% 以下,同时保持功能可用性。Meta 的响应虽及时,但研究建议进一步采用零知识证明技术验证查询合法性,避免元数据泄露。
最后,强调隐私影响评估的重要性。虽无恶意滥用证据,但这一漏洞提醒开发者:在设计 P2P 功能时,优先考虑最小权限原则。用户应主动管理公开信息,结合 VPN 隐藏 IP 以降低暴露风险。
资料来源:
- The Hacker News: "Meta Expands WhatsApp Security Research Program with New Proxy Tool and $4M in Bounties" (2025-11-19)
- 维也纳大学 Gabriel Gegenhuber 等研究报告(2025)。
(正文字数:1028)