全球超過 20 億人每日依賴 WhatsApp 作為主要的即時通訊工具，但近日一項引起國際熱議的研究揭露，一項原本用作比對聯絡人的內建機制，竟存在設計缺陷，讓研究團隊能在短時間內大規模測試電話號碼，並比對出至少 35 億個使用中帳號。事件曝光後，外界對 WhatsApp 的安全性再度產生質疑，不少專家提醒，用戶不應只依賴端對端加密，自身的公開資料與使用習慣同樣需要提高警覺。

這項研究由奧地利維也納大學及 SBA Research 合作完成。研究人員指出，WhatsApp 會透過電話號碼比對機制，確認特定號碼是否為平台活躍用家。這本來是簡單的登入功能，但因為缺乏嚴格的查詢限制，反而成為系統最大的弱點。

研究團隊開發出一套演算法，可用每秒約 7,000 次的速度輸入不同電話號碼，短短一小時便能測試超過一億組數字。最終，他們成功確認至少 35 億個 WhatsApp 活躍帳號，遠高於官方宣稱的「超過 20 億」。

雖然 WhatsApp 的訊息內容仍受端對端加密保護，但帳號存在與否、綁定裝置等「元資料」（Metadata）卻在此過程中完全曝光，而這類資料足以讓不法分子描繪出一個人的活動習慣與生活模式。

資料洩漏比想像更危險

研究報告指出，透過比對機制所得的資訊，攻擊者能分析出電話號碼的使用地區範圍、用戶使用的手機型號、帳號建立時間、最後上線時間，甚至可推測裝置綁定的數量。對網絡安全專家而言，這類資料雖然不像聊天內容般直接敏感，但一旦落入詐騙集團手中，後果同樣嚴重。

由於 WhatsApp 會顯示公開的個人頭像、狀態訊息和簡介內容，研究更顯示，有 57% 的帳號採用可辨識的真人頭像，三成用戶在簡介中透露職業、興趣、宗教、性傾向、社交連結等資訊。在人工智能和影像辨識技術普及之下，不法分子只需交叉比對公開照片，就能從陌生電話快速查出背後身份。

WhatsApp：已修復漏洞

對於研究結果，WhatsApp 工程副總裁 Nitin Gupta 表示，公司已與研究團隊合作修補漏洞，並加強相關防止資料刮取（scraping）的技術。他強調，研究期間沒有證據顯示此漏洞被不法人士濫用，而研究團隊亦已刪除測試取得的資料。

然而，網絡安全學者認為，平台修補漏洞並不代表用戶完全安全。維也納大學研究員 Aljosha Judmayer 指出，「你傳了甚麼訊息可以被加密保護，但你何時上線、和誰最常聯絡、身在甚麼位置，往往更能描繪你的生活。」換言之，用戶不能只依賴 WhatsApp 或 Meta 的官方說法，而應主動管理自己的公開資料。

如何自保？資安專家建議立即檢查 WhatsApp 這些項目

雖然漏洞已宣稱修補，但專家一致強調，用家仍應提高警覺，避免因公開資料過多而成為不法分子的目標。首先，建議使用者打開 WhatsApp「設定」→「隱私」，關閉以下資訊的公開度：

大頭照（改為只供聯絡人可見）
個人介紹（減少透露職業、政治或私密興趣）
最後上線時間與在線狀態
允許被加入群組方式（改為「只限聯絡人」）

其次，用戶應定期檢查自己的 WhatsApp 是否在不熟悉的裝置登入，尤其是曾在公共電腦或第三方電腦掃描 QR Code 的情況。最後，避免在 WhatsApp 展示工作證、活動門票、地址等個人相片，因為這些影像可被解析，並成為網絡詐騙的重要素材。