論文の概要: Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy

• arxiv url: http://arxiv.org/abs/2511.20252v1
• Date: Tue, 25 Nov 2025 12:27:05 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-11-26 17:37:04.451609
• Title: Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy
• Title（参考訳）: WhatsAppはセキュリティとプライバシーのために30億のアカウントを数えている
• Authors: Gabriel K. Gegenhuber, Philipp É. Frenzel, Maximilian Günther, Johanna Ullrich, Aljosha Judmayer,
• Abstract要約: WhatsAppはいまだに大規模な列挙に対して非常に脆弱であることを示す。 私たちはブロックや有効レート制限に遭遇することなく、1時間に1億以上の電話番号を調査しました。 また、2021年のFacebookデータリークで公表された電話番号の半分近くが、WhatsAppでまだアクティブであることも示しています。
• 参考スコア（独自算出の注目度）: 1.4190701053683015
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: WhatsApp, with 3.5 billion active accounts as of early 2025, is the world's largest instant messaging platform. Given its massive user base, WhatsApp plays a critical role in global communication. To initiate conversations, users must first discover whether their contacts are registered on the platform. This is achieved by querying WhatsApp's servers with mobile phone numbers extracted from the user's address book (if they allowed access). This architecture inherently enables phone number enumeration, as the service must allow legitimate users to query contact availability. While rate limiting is a standard defense against abuse, we revisit the problem and show that WhatsApp remains highly vulnerable to enumeration at scale. In our study, we were able to probe over a hundred million phone numbers per hour without encountering blocking or effective rate limiting. Our findings demonstrate not only the persistence but the severity of this vulnerability. We further show that nearly half of the phone numbers disclosed in the 2021 Facebook data leak are still active on WhatsApp, underlining the enduring risks associated with such exposures. Moreover, we were able to perform a census of WhatsApp users, providing a glimpse on the macroscopic insights a large messaging service is able to generate even though the messages themselves are end-to-end encrypted. Using the gathered data, we also discovered the re-use of certain X25519 keys across different devices and phone numbers, indicating either insecure (custom) implementations, or fraudulent activity. In this updated version of the paper, we also provide insights into the collaborative remediation process through which we confirmed that the underlying rate-limiting issue had been resolved.
• Abstract（参考訳）: WhatsAppは、2025年初頭の時点で35億のアクティブアカウントを持ち、世界最大のインスタントメッセージングプラットフォームである。 WhatsAppはユーザーベースが膨大であることを考えると、グローバルなコミュニケーションにおいて重要な役割を担っている。 会話を開始するには、まず自分の連絡先がプラットフォームに登録されているかどうかを知る必要がある。 これは、WhatsAppのサーバーにユーザーのアドレス帳から抽出された携帯電話番号(アクセスが許された場合)を問い合わせることによって達成される。 このアーキテクチャは本質的に電話番号の列挙を可能にする。 レート制限は乱用に対する標準的な防御だが、この問題を再考し、WhatsAppが大規模な列挙に対して非常に脆弱であることを示します。 本稿では、ブロックや有効レート制限に遭遇することなく、1時間に1億以上の電話番号を探索することができた。 以上の結果から, 本脆弱性の持続性だけでなく, 重症度も明らかとなった。 さらに、2021年のFacebookデータリークで公表された電話番号の半分近くがWhatsApp上で活動していることも示しています。 さらに、WhatsAppユーザーの国勢調査を実行し、メッセージ自体がエンドツーエンド暗号化されているにも関わらず、大規模なメッセージングサービスが生成できるマクロ的な洞察を垣間見ることができた。 収集したデータを用いて、異なるデバイスや電話番号にまたがる特定のX25519キーの再利用も確認した。 この更新版では、協調的修復プロセスに関する洞察も提供し、基礎となるレート制限問題が解決されたことを確認した。

関連論文リスト

• Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengers [1.6857161116805999]
  本稿では,配送レシートがユーザに対して重大なプライバシー上のリスクをもたらすことを強調する。 特別に作られたメッセージを使って、配達のレシートをトリガーすることで、ユーザーは自分の知識や同意なしに入力できるのです。 私たちはこの問題に対処するための設計変更を主張する。
  論文  参考訳（メタデータ） (2024-11-17T22:58:28Z)
• The Medium is the Message: How Secure Messaging Apps Leak Sensitive Data to Push Notification Services [9.547428690220618]
  本研究では、Androidデバイスにプッシュ通知を送信するために、セキュアメッセージングアプリのGoogleのCloud Messaging(FCM)サービスの使用について調査した。 われわれはGoogle Play Storeから人気の高い21のセキュアメッセージングアプリを分析し、FCM経由で送られたプッシュ通知のペイロードにリークする個人情報を判定した。 FCMにリークされたデータはすべて、これらのアプリのプライバシー開示で具体的には公開されていません。
  論文  参考訳（メタデータ） (2024-07-15T10:13:30Z)
• WildChat: 1M ChatGPT Interaction Logs in the Wild [88.05964311416717]
  WildChatは100万件のユーザー・チャットGPT会話のコーパスで、250万回以上のインタラクション・ターンで構成されている。 タイムスタンプによるチャットの書き起こしに加えて、州、国、ハッシュIPアドレスを含む人口統計データでデータセットを豊かにします。
  論文  参考訳（メタデータ） (2024-05-02T17:00:02Z)
• Analysis of Longitudinal Changes in Privacy Behavior of Android Applications [79.71330613821037]
  本稿では,プライバシに関して,Androidアプリが時間とともにどのように変化してきたかを検討する。 HTTPSの採用、アプリが他のインストール済みアプリのデバイスをスキャンするかどうか、プライバシに敏感なデータに対するパーミッションの使用、ユニークな識別子の使用について検討する。 アプリがアップデートを受け続けるにつれて、プライバシ関連の振る舞いは時間とともに改善され、アプリによって使用されるサードパーティライブラリが、プライバシに関するより多くの問題に責任を負っていることが分かっています。
  論文  参考訳（メタデータ） (2021-12-28T16:21:31Z)
• Uncovering the Dark Side of Telegram: Fakes, Clones, Scams, and Conspiracy Movements [56.49045238318727]
  我々は35,382の異なるチャンネルと130,000,000以上のメッセージを収集して,Telegramの大規模解析を行う。 カードなどのダークウェブのプライバシー保護サービスにも、悪名高い活動がいくつかある。 疑似チャネルを86%の精度で識別できる機械学習モデルを提案する。
  論文  参考訳（メタデータ） (2021-11-26T14:53:31Z)
• Tiplines to Combat Misinformation on Encrypted Platforms: A Case Study of the 2019 Indian Election on WhatsApp [5.342552155591148]
  我々は、WhatsApp上でクラウドソースシステムの有用性を分析し、ユーザーがファクトチェックを希望するメッセージを含む"チップ"を送信できるようにする。 われわれは、2019年のインド総選挙でWhatsAppに送られたチップを、WhatsApp上の大規模な公開グループで流されたメッセージと比較した。 私たちは、チップラインがWhatsAppの会話に非常に便利なレンズであることに気付きました。
  論文  参考訳（メタデータ） (2021-06-08T23:08:47Z)
• Jettisoning Junk Messaging in the Era of End-to-End Encryption: A Case Study of WhatsApp [8.463390032361591]
  インドで5K公開WhatsAppグループに送信された260万メッセージの多言語データセットでジャンクメッセージングを研究する。 10分の1近いメッセージが、ジャンク送信者から送られてくる望ましくないコンテンツであることに気付きました。
  論文  参考訳（メタデータ） (2021-06-08T15:52:46Z)
• Mind the GAP: Security & Privacy Risks of Contact Tracing Apps [75.7995398006171]
  GoogleとAppleは共同で,Bluetooth Low Energyを使用した分散型コントラクトトレースアプリを実装するための公開通知APIを提供している。 実世界のシナリオでは、GAP設計は(i)プロファイリングに脆弱で、(ii)偽の連絡先を生成できるリレーベースのワームホール攻撃に弱いことを実証する。
  論文  参考訳（メタデータ） (2020-06-10T16:05:05Z)
• Can WhatsApp Benefit from Debunked Fact-Checked Stories to Reduce Misinformation? [3.116035935327534]
  偽情報がWhatsAppの公開グループで共有されているのをわれわれは観察している。 これは、ブラジルとインドの両方で分析されたグループにおいて、誤報のかなりの部分を占めていることを示している。 このような誤報に対処するためにWhatsAppが実装可能なアーキテクチャを提案する。
  論文  参考訳（メタデータ） (2020-06-03T18:28:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。