WhatsApp te poate trăda fără să-ți scrie nimeni. Metadatele „scurse” deschid o nouă breșă pentru atacatori

WhatsApp este perceput de ani buni ca una dintre cele mai sigure aplicații de mesagerie, mai ales datorită criptării end-to-end. Tocmai de aceea, noua controversă din jurul platformei Meta este cu atât mai incomodă. Un cercetător în securitate susține că, având doar numărul tău de telefon, un străin poate afla anumite informații despre tine fără să-ți trimită vreun mesaj vizibil și fără ca tu să știi că ai fost „verificat”. Potrivit relatărilor din presa de specialitate, este vorba despre metadate limitate, dar suficient de utile încât să ajute diverse forme de atac sau profilare.

Investigația îl are în centru pe Tal Be’ery, cofondator și CTO al Zengo, care a arătat că WhatsApp poate lăsa să se vadă când ești online și ce tip de dispozitiv folosești, în anumite condiții. Demonstrația sa urmează să fie prezentată la Black Hat Asia 2026, iar publicațiile care au relatat cazul spun că WhatsApp a confirmat detaliile tehnice de bază ale descoperirilor și a sugerat că lucrează deja la unele măsuri de atenuare. Meta nu a publicat însă, în acel context, o reacție amplă sau un anunț spectaculos care să sugereze o rezolvare completă.

Miza reală nu este că cineva îți poate citi conversațiile. Criptarea end-to-end rămâne în picioare, iar chiar cercetătorul subliniază că problema este alta: felul în care anumite alegeri de design ale WhatsApp pot oferi semnale despre activitatea și dispozitivele tale. În lumea securității cibernetice, astfel de semnale pot conta enorm, mai ales când sunt combinate cu phishing, spyware sau alte tactici de atac bine țintite.

Ce pot afla atacatorii și de ce contează

Una dintre tehnicile descrise se bazează pe așa-numitele „silent pings”, mesaje la nivel de aplicație care nu apar pe telefonul victimei, dar care pot genera suficiente indicii pentru a deduce dacă persoana este activă și online. Relatările din presa de profil notează că astfel de interacțiuni invizibile pot ajuta un atacator să-ți construiască un profil al obiceiurilor: când ești treaz, când lucrezi, când ai putea fi mai vulnerabil la un mesaj de tip phishing sau chiar cum ți-ar putea consuma discret resursele dispozitivului.

Vezi și:

7 semne că un anunț de cazare de pe Booking ar putea fi fals. Ce trebuie să verifici înainte să plătești

A doua categorie de informații ține de device fingerprinting. Din cauza modului în care funcționează infrastructura de criptare și identificare a dispozitivelor, un atacator poate deduce ce fel de sisteme folosești pentru WhatsApp. Presa de securitate a relatat încă din ianuarie că un atacator are nevoie doar de numărul țintei pentru a colecta informații despre dispozitivele și sistemele de operare asociate contului, fără interacțiune din partea utilizatorului și fără alertă pentru victimă. De asemenea, au apărut informații potrivit cărora WhatsApp a început să facă unele ajustări, în special pentru Android, însă tehnica nu a dispărut complet.

La prima vedere, aceste date pot părea banale. Nu sunt parole, nu sunt mesaje private, nu sunt fotografii. Totuși, într-un atac bine pregătit, ele pot deveni extrem de valoroase. Dacă știi ce dispozitiv folosește ținta, poți adapta mai bine un exploit sau o tentativă de fraudă. Dacă știi când este online, poți alege momentul perfect pentru o capcană digitală. Chiar WhatsApp a explicat, potrivit publicațiilor care au discutat cazul, că impactul practic al acestor tehnici este de obicei limitat fără un zero-day sau altă vulnerabilitate suplimentară, dar asta nu înseamnă că problema este irelevantă.

De ce nu este o catastrofă, dar nici o problemă banală

WhatsApp insistă că astfel de probleme sunt, în general, de severitate redusă și observă că fingerprinting-ul de dispozitiv nu este specific doar propriei platforme. Compania spune și că diferențele dintre sisteme de operare fac inevitabilă existența unor comportamente distincte, iar acestea pot fi exploatate pentru inferențe limitate. În același timp, Meta arată că lucrează la întărirea aplicației și că unele rapoarte ale lui Be’ery au dus la îmbunătățiri reale și chiar la acordarea unui bug bounty.

Pe de altă parte, tocmai lansarea funcției Strict Account Settings arată că Meta recunoaște un context de risc mai larg pentru utilizatorii expuși, precum jurnaliștii sau persoanele publice. Noua opțiune activează setări mai dure, inclusiv blocarea automată a atașamentelor și fișierelor media de la necunoscuți și reducerea unor suprafețe de atac. Meta o prezintă ca pe o măsură destinată celor vizați de atacuri sofisticate, nu utilizatorului obișnuit, dar simpla ei existență sugerează că amenințarea este tratată serios.

Concluzia nu este că WhatsApp a devenit brusc nesigur, ci că promisiunea „criptării totale” nu acoperă întreaga poveste a securității. Mesajele pot rămâne protejate, dar metadatele, obiceiurile și detaliile despre dispozitive continuă să fie o zonă sensibilă. Iar într-o epocă în care atacatorii nu mai au nevoie mereu de breșe spectaculoase, chiar și aceste firimituri de informație pot face diferența dintre o tentativă ratată și una periculos de bine țintită.