本论文研究了全球最大即时通讯平台 WhatsApp 的电话号码枚举漏洞。WhatsApp 拥有超过 35 亿活跃用户（截至 2025 年初），其通讯录同步机制允许用户通过手机号查询联系人是否注册。该机制虽为合法功能，但本质上为攻击者提供了枚举有效手机号的能力。作者通过大规模实验证明，WhatsApp 的速率限制措施存在严重不足，能够以每小时超过 1 亿次的速率进行探测而不被阻止。研究发现，2021 年 Facebook 数据泄露中披露的近一半电话号码在 WhatsApp 上仍处于活跃状态，凸显了数据泄露的长期风险。此外，作者还进行了用户普查，揭示了即使消息内容经过端到端加密，元数据（如用户活跃状态和关联设备）仍可能被大规模收集。更关键的是，发现了不同设备或电话号码之间重复使用 X25519 公钥的现象，这可能是由于不安全的自定义实现或欺诈活动导致。论文最后描述了与 WhatsApp 团队的协作修复过程，确认了速率限制问题已得到解决。该研究适合安全研究人员、隐私倡导者及即时通讯平台开发者阅读。