全球超过 20 亿人每日依赖 WhatsApp 作为主要的即时通讯工具，但近日一项引起国际热议的研究揭露，一项原本用作比对联络人的内建机制，竟存在设计缺陷，让研究团队能在短时间内大规模测试电话号码，并比对出至少 35 亿个使用中帐号。事件曝光后，外界对 WhatsApp 的安全性再度产生质疑，不少专家提醒，用户不应只依赖端对端加密，自身的公开资料与使用习惯同样需要提高警觉。

这项研究由奥地利维也纳大学及 SBA Research 合作完成。研究人员指出，WhatsApp 会透过电话号码比对机制，确认特定号码是否为平台活跃用家。这本来是简单的登入功能，但因为缺乏严格的查询限制，反而成为系统最大的弱点。

研究团队开发出一套演算法，可用每秒约 7,000 次的速度输入不同电话号码，短短一小时便能测试超过一亿组数字。最终，他们成功确认至少 35 亿个 WhatsApp 活跃帐号，远高于官方宣称的“超过 20 亿”。

虽然 WhatsApp 的讯息内容仍受端对端加密保护，但帐号存在与否、绑定装置等“元资料”（Metadata）却在此过程中完全曝光，而这类资料足以让不法分子描绘出一个人的活动习惯与生活模式。

资料泄漏比想像更危险

研究报告指出，透过比对机制所得的资讯，攻击者能分析出电话号码的使用地区范围、用户使用的手机型号、帐号建立时间、最后上线时间，甚至可推测装置绑定的数量。对网络安全专家而言，这类资料虽然不像聊天内容般直接敏感，但一旦落入诈骗集团手中，后果同样严重。

由于 WhatsApp 会显示公开的个人头像、状态讯息和简介内容，研究更显示，有 57% 的帐号采用可辨识的真人头像，三成用户在简介中透露职业、兴趣、宗教、性倾向、社交连结等资讯。在人工智能和影像辨识技术普及之下，不法分子只需交叉比对公开照片，就能从陌生电话快速查出背后身份。

WhatsApp：已修复漏洞

对于研究结果，WhatsApp 工程副总裁 Nitin Gupta 表示，公司已与研究团队合作修补漏洞，并加强相关防止资料刮取（scraping）的技术。他强调，研究期间没有证据显示此漏洞被不法人士滥用，而研究团队亦已删除测试取得的资料。

然而，网络安全学者认为，平台修补漏洞并不代表用户完全安全。维也纳大学研究员 Aljosha Judmayer 指出，“你传了甚么讯息可以被加密保护，但你何时上线、和谁最常联络、身在甚么位置，往往更能描绘你的生活。”换言之，用户不能只依赖 WhatsApp 或 Meta 的官方说法，而应主动管理自己的公开资料。

如何自保？资安专家建议立即检查 WhatsApp 这些项目

虽然漏洞已宣称修补，但专家一致强调，用家仍应提高警觉，避免因公开资料过多而成为不法分子的目标。首先，建议使用者打开 WhatsApp“设定”→“隐私”，关闭以下资讯的公开度：

大头照（改为只供联络人可见）
个人介绍（减少透露职业、政治或私密兴趣）
最后上线时间与在线状态
允许被加入群组方式（改为“只限联络人”）

其次，用户应定期检查自己的 WhatsApp 是否在不熟悉的装置登入，尤其是曾在公共电脑或第三方电脑扫描 QR Code 的情况。最后，避免在 WhatsApp 展示工作证、活动门票、地址等个人相片，因为这些影像可被解析，并成为网络诈骗的重要素材。