Исследователь обнаружил, что номера телефонов, связанные с учетными записями WhatsApp, публично индексируются в Поиске Google, создавая то, что он считает «проблемой конфиденциальности» для пользователей.
Исследователь предупреждает, что функция WhatsApp под названием «Click to Chat» подвергает риску номера мобильных телефонов пользователей, позволяя Google Search индексировать их, чтобы их мог найти любой пользователь. Но владелец WhatsApp на Facebook говорит, что это не так уж и страшно, и что результаты поиска показывают только то, что пользователи выбрали для публикации в любом случае.
Охотник за головами Атул Джаярам , обнаруживший проблему, называет номера телефонов «утечками» и характеризует ситуацию как ошибку безопасности, которая ставит под угрозу конфиденциальность пользователей WhatsApp.
Click to Chat предлагает веб-сайтам простой способ начать сеанс чата WhatsApp с посетителями веб-сайта. Он работает путем привязки изображения кода быстрого ответа (QR) (созданного с помощью сторонних служб) к номеру мобильного телефона владельца WhatsApp. Это позволяет посетителю сканировать QR-код сайта или щелкнуть URL-адрес, чтобы начать сеанс чата в WhatsApp, при этом посетителю не нужно набирать сам номер. Тем не менее, этот посетитель по-прежнему получает доступ к номеру телефона после начала вызова.
Проблема, по словам Джаярама, заключается в том, что эти мобильные номера также могут появляться в результатах поиска Google, поскольку поисковые системы индексируют метаданные Click to Chat. Телефонные номера отображаются как часть строки URL-адреса ( https://wa.me/ < phone_number >), и, таким образом, это, по мнению исследователя, фактически «пропускает» номера мобильных телефонов пользователей WhatsApp в незашифрованном виде.
Согласно данным WHOIS, домен «wa.me» принадлежит и поддерживается WhatsApp.
«Номер вашего мобильного телефона отображается в текстовом виде в этом URL-адресе, и любой, кто получит этот URL-адрес, может знать ваш номер мобильного телефона. Вы не можете отозвать его », — сказал Джаярам в исследовании, распространенном исключительно в Threatpost в пятницу.
Он утверждает, что спамерам легче собирать законные номера телефонов для организации кампаний. Используя специально созданную строку поиска домена https://wa.me/ , исследователь сказал, что обнаружил, что Google проиндексировал 300 000 телефонных номеров WhatsApp.
Джаярам утверждает, что из-за этого Click to Chat представляет важную проблему безопасности, которая может привести к злоупотреблениям и мошенничеству.
«По мере утечки отдельных телефонных номеров злоумышленник может отправлять им сообщения, звонить им, продавать свои телефонные номера маркетологам, спамерам, мошенникам», — сказал он.
По словам Джаярама, поскольку WhatsApp идентифицирует пользователей по телефонным номерам (в отличие от имен пользователей или идентификаторов электронной почты), в Поиске Google выявляются только номера телефонов, а не идентификаторы пользователей, к которым они были подключены. Тем не менее, исследователь сказал, что он также мог видеть фотографии профилей пользователей в WhatsApp вместе с их номерами телефонов, просто нажав на URL-адреса телефонных номеров Google Search, что привело его к их профилям WhatsApp. Затем определенный хакер может выполнить обратный поиск по изображению профиля пользователя в надежде собрать достаточно ключей, чтобы установить личность пользователя.
«Через профиль WhatsApp они могут видеть фотографию профиля пользователя и выполнять поиск по обратному изображению, чтобы найти другие учетные записи в социальных сетях и узнать больше о [целевом лице]», — сказал он Threatpost.
По словам Джаярама, соединение телефонного номера с именем и адресом может стать мощной отправной точкой для похитителя личных данных. «Большинство пользователей используют одно и то же изображение профиля в других учетных записях в социальных сетях, профили пользователей также можно легко найти», — сказал он.
WhatsApp, со своей стороны, описывает Click to Chat как привилегию удобства, позволяющую пользователям начать чат с кем-то, не сохраняя свой номер телефона в адресной книге своего телефона.
«Наша функция Click to Chat, которая позволяет пользователям создавать URL-адреса со своими телефонными номерами, чтобы каждый мог легко отправить им сообщение, широко используется малым и микробизнесом во всем мире для связи со своими клиентами», — заявил представитель WhatsApp в Threatpost.
Особенность или ошибка?
Исследователь утверждает, что многие пользователи Click to Chat не знают, что их телефонные номера хранятся в незашифрованном виде, индексируются поиском Google и обнаруживаются с помощью относительно простого поискового запроса.
Он сообщил Threatpost, что пользователи, к которым он обратился, выразили обеспокоенность тем, что их номера телефонов доступны в Интернете и проиндексированы поиском Google.
Threatpost также обратился к нескольким пользователям WhatsApp, чьи номера были проиндексированы поиском Google — некоторые знали, что их номер был общедоступным, — и таким образом продвигали свой бизнес или личные контакты в Интернете.
«Мой номер телефона общедоступен в Интернете. Не нужно вовлекать WhatsApp », — сказал один из пользователей Threatpost, пояснив, что Click to Chat — это удобно и облегчает посетителям его сайта. «Я сделал это, чтобы людям было проще связаться со мной. Удивительно, но я получаю очень мало спам-звонков », — сказал он.
Однако другие не знали, что их номера были публичными.
«Нет, я вовсе не хотел обнародовать свой номер», — сказал один из пользователей Threatpost. «Я настроил WhatsApp для своего бизнеса, чтобы люди могли отправлять текстовые сообщения напрямую, не получая мой номер».
Старая проблема, новые жалобы
Поисковые индексы Google также были центральными в сбое WhatsApp, обнаруженном ранее в этом году, после того, как журналист DW News обнаружил, что ссылки для групп WhatsApp индексируются поисковой системой Google. Это означало, что если ссылки на частные группы существуют где-либо в Интернете, любой может найти их и присоединиться к группе WhatsApp с помощью быстрого поиска в Google. Сотни тысяч групп были потенциально доступны таким образом.
В то время Дэнни Салливан (Danny Sullivan), общественный представитель Google Search, заявил в Твиттере, что ситуация «ничем не отличается от любого случая, когда сайт позволяет публично размещать URL-адреса», но сказал, что Google действительно предлагает инструменты, позволяющие сайтам блокировать контент. в списке.
Представитель Google сообщил Threatpost, что, по словам Салливана, в отношении поиска Google все еще верно. По данным Google, это и другие поисковые системы индексируют страницы, которые доступны в открытой сети. Google не может удалить URL-адреса из Интернета (это могут делать только веб-мастера), поэтому даже если что-то будет удалено из результатов Google, оно все равно может появиться в результатах других поисковых систем.
Jayaram рекомендовал WhatsApp зашифровать мобильные номера пользователей и добавить файл robots.txt, чтобы запретить роботам сканировать их домен.
