WhatsApp：研究人员创建了包含全部 35 亿用户的电话簿

维也纳大学和 SBA Research 的安全研究人员展示了 WhatsApp 数据收集的可能性，令人不安。研究小组利用 WhatsApp 的联系人发现功能，成功揭露了所有 35 亿用户的身份。该功能实际上是为了检查通讯录中的联系人。

研究人员利用了一个巨大的安全漏洞，该漏洞已被关闭。他们发现该界面没有足够的查询速率限制。理论上，这允许他们每小时查询 1 亿个电话号码。完整的电话号码范围被简单地检查了一遍。这项研究最终发表在Github 上。科学家们将在 2026 年 2 月 23 日至 27 日在圣地亚哥举行的网络和分布式系统安全（NDSS）研讨会上展示进一步的结果和详细分析。

这项研究建立了一个庞大的数据库，其中包含全球约 35 亿个活跃的 WhatsApp 账户。WhatsApp的API（应用程序接口）一旦识别出注册号码，就会提供公开的元数据。其中包括个人资料图片、状态更新以及用户最后一次在线的时间等信息。此外，还可以收集到技术细节，如操作系统的分布。例如，数据显示全球约 81% 的用户使用Android ，而 iOS 约占 19%。

研究人员还将这些数据与 2021 年 Facebook 大规模数据泄露事件进行了比较。当时泄露的数据中有 58% 至今仍在使用。这说明，即使在多年以后，这种大规模数据集仍然非常有价值。即使在严格的互联网审查和 WhatsApp 屏蔽的国家，也能识别出数百万活跃用户。2,333,519 个带有中国电话号码的账户被识别出来。即使在朝鲜，也至少有五个电话号码与 WhatsApp 账户相关联。

Meta 公司获悉该漏洞后，采取了应对措施，实施了严格的速率限制，因此不再可能以这种速度进行大规模查询。虽然该公司表示没有证据表明存在第三方利用该漏洞的情况，但从技术上讲，对过去的此类尝试进行全面审查几乎是不可能的。这种方法本身在安全领域是众所周知的，因此其他行为者以前未被发现的使用至少是有可能的。

此外，一个技术细节让我们了解到 WhatsApp 的阴暗世界。在正常运行情况下，每安装一个应用程序都会生成一个唯一的加密密钥对，它是端到端加密的基础，并确保设备的身份。然而，研究人员发现了使用相同公钥的电话号码群，而在物理设备上使用官方应用程序时，这在技术上是不可能的。这种密钥重复使用强烈暗示着使用了非官方软件。此类工具经常被用于 "点击农场 "或营销机器人，操作员出于效率原因或由于执行错误，会将相同的安全身份复制到许多不同的账户中。这不仅暴露了虚假账户，还表明这些非官方客户端会严重破坏信使的安全架构。