Meta 已开始封堵 WhatsApp 中被用来“指纹识别”设备操作系统的元数据泄露点,但要把各类签名完全隐藏仍面临长期挑战。
攻击者若想把高级间谍软件投递给某名用户,往往会选择拥有 30 亿用户的 WhatsApp 做渠道。他们先利用 0day(无需受害者交互即可投毒)把 payload 推送到用户端。2025 年曝出的 Paragon 间谍软件事件,就是通过这类 0day 对数十名用户下手。
WhatsApp 0day 极其罕见,全利用链在灰/白市常被叫到 100 万美元。
“先识系统、再选漏洞”
在真正动用 0day 前,攻击者必须知道目标运行什么操作系统,才能匹配相应漏洞。过去两年多名研究者演示:只需知道手机号,即可在侦察阶段无感地收集到以下信息——
- 用户主力设备与所有已关联设备
- 各设备的 OS 类型、设备“年龄”
- 是在手机 App 还是桌面浏览器上使用 WhatsApp
原因在于 WhatsApp 给各端分配的加密密钥 ID(key ID)具有可预测特征。
研究进展
ZenGo 钱包联合创始人兼 CTO Tal Be’ery 是这项调查的主要推动者之一。他和同伴将发现报告给 Meta 后,一度未见动作,直到近期 Be’ery 用自己编写的非公开工具测试时发现:
- Android 端的关键 ID 已开始被随机化;
- iPhone 端仍用“初始值很小、隔几天才递增”的策略,因此依旧能高置信区分出 Android 与 iPhone。
Be’ery 在周一发表的博客中肯定 Meta“迈出了第一步”,但批评其静默推送、无 CVE、无赏金,且与报告者沟通不足。他认为后续若把相关字段在所有平台都随机化,这一隐私漏洞将被“彻底消灭”。
WhatsApp 回应
WhatsApp 对 SecurityWeek 表示,公司持续在不同向量上强化安全,同时需兼顾 30 亿用户的体验。关于“操作系统可被推断”,官方指出:
- 设备指纹识别并非 WhatsApp 独有,iMessage 等平台也存在;
- OS 本身为优化体验会暴露差异(如 iMessage 输号即可判断对方是否苹果设备);
- 推断 OS 需先有 0day 才能转化为实际攻击,行业普遍将其定级为“低危”,通常不分配 CVE;Be’ery 报告的情形未达到 WhatsApp 阈值。
不过,WhatsApp 承认该报告帮助其修复了另一处“无效消息处理”缺陷,并优化了同类漏洞的赏金流程,已向研究员发放奖金。
数据与行动
- Meta 自启动赏金计划以来已支付 2500 万美元,其中 2025 年发放 400 万。
- WhatsApp 推出 Research Proxy 工具,方便学者对其协议做安全研究。
- 在反间谍软件战线,Meta 继续诉讼、情报共享与用户教育并举——去年已胜诉 NSO Group,后者被勒令停止攻击 WhatsApp 并支付数百万惩罚性赔偿金(NSO 已提起上诉)。
消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容