Читать первым в Telegram-канале «Код Дурова»
Пользователей WhatsApp предупредили об угрозе утечки их личных данных из-за новой функции сервиса. Об этом сообщил специалист по кибербезопасности из Индии Атул Джаярам в своем блоге на Medium. Уязвимость обнаружена в функции «Click to Chat».
UPD: После многочисленных упоминаний в СМИ индексация домена wa.me была убрана, но в команде Facebook пропустили api.whatsapp.me, который на данный момент всё ещё индексируется.
«Функция „click to chat“ в WhatsApp позволяет вам начать общение с кем-нибудь, даже если его номера телефона нет в адресной книге вашего телефона. Если вы узнаете номер телефона этого человека и у него есть активная учетная запись WhatsApp, вы можете создать ссылку, которая позволит вам начать общение с ним. При нажатии на ссылку автоматически открывается чат с этим человеком. Чат открывается как в приложении WhatsApp на вашем телефоне, так и в интернет-версии», ― объясняет нам WhatsApp.
Как отметил специалист, из-за индексации медиаданных «Click to Chat» компанией Google телефонные номера оказываются в сети. По словам Джаярама, проблема заключается в том, что поисковые системы индексируют метаданные в ссылках wa.me, которые содержат номера мобильных телефонов пользователей: «Телефонный номер вашего мобильного виден в виде обычного текста в этом URL-адресе, и соответственно любой, кто получит доступ к ссылке, может его узнать. И вы не можете с этим ничего поделать», ― сообщает ИБ-специалист.
Произведя поиск по домену в Google, Джаярам обнаружил более 300 тысяч номеров WhatsApp, которые стали общедоступными. Джаярам подал в Facebook стандартную заявку на вознаграждение за найденную уязвимость. Однако заявка была отклонена на том основании, что полная информация и так открыта в профилях пользователей WhatsApp.
Как поясняют представители WhatsApp: «Хоть мы и ценим отчёт этого исследователя и время, которое он потратил, дабы поделиться им с нами, он не может претендовать на вознаграждение: поскольку его отчёт просто содержал поисковую выдачу с URL-адресами, которые пользователи WhatsApp сами решили опубликовать. Все пользователи WhatsApp, включая компании, могут блокировать нежелательные сообщения одним нажатием кнопки».
Такие данные пользователей, как например имена и фамилии, в Сеть не утекают, однако при желании злоумышленники с легкостью могут их найти через поиск URL-адреса с номером телефона. Мошенники могут использовать эти данные для создания баз данных, которыми впоследствии смогут воспользоваться спамеры.