كشف تحليل تقني حديث عن قدرة أطراف خارجية على استنتاج بيانات وصفية دقيقة لمستخدمي تطبيق WhatsApp، حيث تتيح الثغرات المكتشفة رصد أوقات الاتصال ونوع الأجهزة المستخدمة، دون الحاجة لتفاعل مباشر مع المستهدف أو توفر معرفة مسبقة به.
وقد أكدت الشركة المطورة للتطبيق صحة الاستنتاجات التي توصل إليها الباحث Tal Be’ery، الشريك المؤسس وكبير مسؤولي التقنية في شركة Zengo، والذي يعتزم عرض تفاصيل بحثه في مؤتمر Black Hat Asia 2026. وتتمحور النتائج حول استغلال آليات داخلية للوصول إلى معلومات النشاط الرقمي، فيما تعمل الشركة حالياً على تطوير إجراءات تقنية لمعالجة الثغرات المرتبطة بهذا المسار البحثي.
تعتمد إحدى الطرق المكتشفة على إرسال “النبضات الصامتة”، وهي رسائل تقنية تعمل في خلفية التطبيق دون أن تظهر للمستخدم نهائياً. يتم إرسال هذه الرسائل عبر برمجيات مخصصة تتصل ببروتوكول WhatsApp Web، وتستند هذه الآلية إلى إمكانية إرسال تفاعلات على رسائل غير موجودة في الواقع دون تنبيه الطرف الآخر.
يتيح هذا الأسلوب للمرسل تحليل زمن استجابة إيصالات التسليم ومعرفة حالة اتصال المستخدم، ويؤدي تكرار العملية إلى رسم صورة دقيقة عن العادات الرقمية للشخص؛ مثل فترات النوم والعمل، وأوقات الذروة في التفاعل. وتُستغل هذه المؤشرات في تصميم هجمات تصيد موجهة بدقة، أو استنزاف بطارية الجهاز عبر استهلاك الموارد تدريجياً دون سبب واضح للمستخدم.
بنية التشفير وتأثيرها على كشف الهوية التقنية للأجهزة
يتناول التقرير مساراً آخر يتعلق بتحديد نوع الجهاز ونظام التشغيل، حيث يرتكز تطبيق WhatsApp على نظام التشفير من طرف إلى طرف (End-to-End Encryption). وتفرض هذه البنية وجود بصمة خاصة لكل جهاز تشتمل على مفاتيح تشفير ومعرفات تختلف باختلاف نظام التشغيل؛ وعند بدء أي محادثة جديدة، تتبادل الأجهزة هذه البيانات تلقائياً، ما يسمح بمعرفة أنواع الأجهزة المرتبطة بالحساب فور إضافة الرقم إلى جهات الاتصال.
ويعزو الباحث هذه الثغرة إلى طبيعة التشفير ذاتها، إذ يحد عدم اطلاع الخوادم المركزية على محتوى الرسائل من قدرتها على توفير حماية موحدة ضد استنتاج البيانات الوصفية. وبذلك، يظل محتوى الرسائل سرياً في حين تبقى بيانات الاتصال والهوية التقنية مكشوفة.
تتجاوز أهمية معرفة نوع الجهاز الجوانب التقنية لتصل إلى استخدامات تجارية وأمنية؛ حيث تُستغل هذه البيانات في “التسعير التمييزي” عبر تقدير القوة الشرائية للمستخدم بناءً على طراز جهازه.
أما في السياق الهجومي، فتساعد هذه المعلومات مطوري برمجيات التجسس في اختيار الأدوات المتوافقة مع نظام تشغيل معين. وقد أثبتت التجارب العملية إمكانية توجيه رسائل إلى نسخة سطح المكتب حصراً دون وصولها إلى بقية الأجهزة المرتبطة، ويشير هذا السلوك إلى وجود خلل في آلية توزيع الرسائل يتيح استهداف جهاز محدد في حال توفر أدوات الاستغلال المناسبة.
التحديات الهيكلية وحلول تعزيز الأمان الرقمي
يرتبط انكشاف هذه المسارات ببنية WhatsApp التي تسمح لأي مستخدم بمراسلة أي رقم بمجرد معرفته؛ إذ يسهل هذا التصميم انتشار الرسائل المجهولة والإضافات العشوائية للمجموعات، ما يخلق مساحة هجوم أوسع مقارنة بمنصات تفرض قيوداً أولية على التواصل. وتبرز الخطورة في إمكانية تتبع أنماط الاتصال أو استهداف الشخصيات العامة ببرمجيات تجسس تعمل دون تفاعل (Zero-click).
وتوفر الشركة حالياً خيارات حماية متقدمة للمستخدمين المعرضين للمخاطر، مع الإشارة إلى احتمالية تأثيرها على سلاسة الاستخدام. كما تضمنت إجراءات التخفيف الحالية خاصية كتم الأرقام غير المعروفة، وفرض قيود على معدلات الاستخدام اليومية.
تشير الملاحظات التقنية إلى أن بعض هذه الأساليب فقدت فعاليتها على أجهزة Android بعد التحديثات الأخيرة، بينما لا يزال تسرب البيانات الوصفية ظاهراً في أجهزة iPhone. وينتقد الباحث أسلوب المعالجة المجزأ لكل مسار على حدة؛ نظراً لأن التطبيق يضم وظائف متعددة مثل الموقع الحي (Live Location)، والوسائط، والاستطلاعات، حيث تمثل كل وظيفة منها قناة محتملة للاستدلال.
ويكمن الحل الجذري في إنشاء طبقة حماية تمنع التواصل المباشر من الأطراف غير المعروفة. ومع ذلك، تظل قوة التشفير في WhatsApp ركيزة أساسية لحماية الخصوصية، ويتطلب الحفاظ عليها تحقيق توازن مع ضوابط تقيد الوصول غير المرغوب فيه، وتوجه التواصل نحو الجهات الموثوقة فقط.
