Salı günü Meta, adlı bir aracı kullanıma sunduğunu söyledi. WhatsApp Araştırma Vekili Programın geliştirilmesine ve mesajlaşma platformunun ağ protokolünün daha etkili bir şekilde araştırılmasına yardımcı olmaları için uzun süredir hata ödülü araştırmacılarından bazılarına.
Buradaki fikir, uygulama devlet destekli aktörler ve ticari casus yazılım satıcıları için kazançlı bir saldırı yüzeyi olmaya devam ederken, WhatsApp’a özgü teknolojilerin araştırılmasını kolaylaştırmaktır.
Şirket ayrıca, araştırma ekiplerini dahili mühendislik ve araç desteğiyle platformun kötüye kullanılmasına odaklanmaya davet eden bir pilot girişim kurduğunu da belirtti. “Amacımız, hata ödüllerine aşina olmayan akademisyenlerin ve diğer araştırmacıların programımıza katılmaları için giriş engelini azaltmaktır” diye ekledi.
Bu gelişme, sosyal medya devinin son 15 yılda 88 ülkeden 1.400’den fazla araştırmacıya 25 milyon dolardan fazla hata ödülü verdiğini açıklamasının ardından geldi; bunun 4 milyon dolarından fazlası yalnızca bu yıl neredeyse 800 geçerli rapor için ödendi. Toplamda Meta, yaklaşık 13.000 başvuru aldığını söyledi.
Dikkate değer hata keşiflerinden bazıları arasında, WhatsApp’ın v2.25.23.73 öncesi, iOS için WhatsApp Business v2.25.23.82 ve Mac için WhatsApp v2.25.23.83’teki eksik doğrulama hatası yer alıyordu; bu hata, bir kullanıcının, başka bir kullanıcının cihazındaki rastgele bir URL’den alınan içeriğin işlenmesini tetiklemesine olanak tanıyabiliyordu. Sorunun vahşice istismar edildiğine dair hiçbir kanıt yok.
Meta tarafından ayrıca CVE-2025-59489 (CVSS puanı: 8.4) olarak takip edilen ve Quest cihazlarına yüklenen kötü amaçlı uygulamaların Unity uygulamalarını keyfi kod yürütme amacıyla manipüle etmesine izin verebilecek bir güvenlik açığı da yamalandı. Flatt Güvenlik araştırmacısı RyotaK, kusuru keşfedip bildirdiği için takdir edildi.
Basit WhatsApp Güvenlik Kusuru 3,5 Milyar Telefon Numarasını Açığa Çıkardı
Son olarak Meta, WhatsApp hesaplarını 245 ülkede geniş ölçekte numaralandırmak ve hizmetin hız sınırlayıcı kısıtlamalarını atlayarak her kullanıcıyı içeren bir veri kümesi oluşturmak için yeni bir yöntemin ayrıntılarını içeren bir raporun ardından WhatsApp’a kazıma önleyici korumalar eklediğini söyledi. WhatsApp’ın yaklaşık 3,5 milyar aktif kullanıcısı var.
Saldırı, kullanıcıların öncelikle kişilerinin platformda kayıtlı olup olmadığını belirlemesini gerektiren meşru bir WhatsApp kişi bulma özelliğinden yararlanıyor. Temel olarak bir saldırganın, profil fotoğrafları, Hakkında metni ve iki öznitelikle ilgili önemli güncellemelerle ilişkili zaman damgaları ile birlikte genel olarak erişilebilen temel bilgileri derlemesine olanak tanır. Meta, bu vektörün kötü niyetli bir bağlamda kötüye kullanıldığına dair hiçbir belirti bulamadığını söyledi.
İlginç bir şekilde araştırma, WhatsApp’ın resmi olarak yasaklandığı ülkelerde, 2,3 milyonu Çin’de ve 1,6 milyonu Myanmar’da olmak üzere, WhatsApp’a kayıtlı milyonlarca telefon numarası buldu.
Viyana Üniversitesi araştırmacısı ve çalışmanın başyazarı Gabriel Gegenhuber, “Normalde bir sistemin bu kadar çok sayıda talebe bu kadar kısa sürede yanıt vermemesi gerekiyor; özellikle de tek bir kaynaktan geliyorsa.” dedi. “Bu davranış, sunucuya etkili bir şekilde sınırsız istek göndermemize ve bunu yaparken kullanıcı verilerini dünya çapında haritalandırmamıza olanak tanıyan temel kusuru ortaya çıkardı.”
Bu yılın başlarında Gegenhuber ve arkadaşları, teslimat makbuzlarının kullanıcılar için nasıl önemli gizlilik riskleri oluşturabileceğini ve böylece bir saldırganın, bilgisi veya rızası olmadan teslimat makbuzlarını tetikleyebilecek ve etkinlik durumlarını çıkarabilecek özel hazırlanmış mesajlar göndermesine olanak tanıdığını gösteren Dikkatsiz Fısıltı başlıklı başka bir araştırmayı da gösterdi.
Araştırmacılar, “Bu tekniği yüksek frekansta kullanarak, bir saldırganın bir kullanıcıyı farklı yardımcı cihazlarda takip etmek, günlük programlarını çıkarmak veya mevcut etkinlikleri çıkarmak gibi özel bilgileri nasıl elde edebileceğini gösteriyoruz” dedi.
“Ayrıca, hedef tarafta herhangi bir bildirim oluşturmadan, halihazırda aktif olan kullanıcı oturumlarının (yani ana ve yardımcı cihazlar) sayısını ve işletim sistemlerini çıkarabiliyor, ayrıca kullanıcının pilini veya veri tahsisini tüketmek gibi kaynak tüketme saldırıları başlatabiliyoruz.”