Исследователь безопасности Атул Джаярам (Athul Jayaram) обнаружил проблему конфиденциальности у мессенджера WhatsApp. Дело в том, что принадлежащий компании Facebook сервис позволяет Google индексировать номера телефонов пользователей, из-за чего эти данные оказываются в открытом доступе. Об этом он подробно написал на Medium.
Проблема заключается в функции Click to Chat, которая позволяет пользователям WhatsApp быстро связаться с собеседником. Работает это следующим образом: каждому номеру телефона присваивается уникальный QR-код, благодаря которому можно добавлять пользователя в список или сразу же начинать беседу. Если просканировать этот QR-код, он покажет ссылку wa.me/, в которой прописывается номер телефона. Проблема в том, что эта информация открытая, соответственно, Google Search индексирует метаданные. Вследствие этого номера телефонов попадают в Google и отображаются в результатах поиска.
Джаярам утверждает, что лично обнаружил порядка 300 тыс. проиндексированных Google телефонных номеров из WhatsApp. Он уверен, что сделать подобное может любой, достаточно ввести в расширенный поиск по сайту wa.me и указать код страны. Полученные результаты поиска с номерами телефонов ведут на профили пользователей с фотографиями. Далее нехитрым способом можно найти в интернете дополнительные данные о конкретном человеке, воспользовавшись поиском по картинке.
Разработчики WhatsApp не считают это уязвимостью. Представитель компании заявил, что функция Click to Chat позволяет пользователям создавать общедоступные URL-адреса со своими номерами телефонов, то есть они заведомо дают согласие на публичный доступ к своей информации. Кроме того, разработчики не видят в этом возможную проблему спама, поскольку такие сообщения можно легко блокировать в мессенджере.
Тем временем сам исследователь считает, что такой проблемы можно избежать, если бы WhatsApp зашифровал номера телефонов пользователей и добавил файл robots.txt, запрещающий роботам сканировать домен, и мета-тег noindex.
Проблема заключается в функции Click to Chat, которая позволяет пользователям WhatsApp быстро связаться с собеседником. Работает это следующим образом: каждому номеру телефона присваивается уникальный QR-код, благодаря которому можно добавлять пользователя в список или сразу же начинать беседу. Если просканировать этот QR-код, он покажет ссылку wa.me/, в которой прописывается номер телефона. Проблема в том, что эта информация открытая, соответственно, Google Search индексирует метаданные. Вследствие этого номера телефонов попадают в Google и отображаются в результатах поиска.
Джаярам утверждает, что лично обнаружил порядка 300 тыс. проиндексированных Google телефонных номеров из WhatsApp. Он уверен, что сделать подобное может любой, достаточно ввести в расширенный поиск по сайту wa.me и указать код страны. Полученные результаты поиска с номерами телефонов ведут на профили пользователей с фотографиями. Далее нехитрым способом можно найти в интернете дополнительные данные о конкретном человеке, воспользовавшись поиском по картинке.
Разработчики WhatsApp не считают это уязвимостью. Представитель компании заявил, что функция Click to Chat позволяет пользователям создавать общедоступные URL-адреса со своими номерами телефонов, то есть они заведомо дают согласие на публичный доступ к своей информации. Кроме того, разработчики не видят в этом возможную проблему спама, поскольку такие сообщения можно легко блокировать в мессенджере.
Тем временем сам исследователь считает, что такой проблемы можно избежать, если бы WhatsApp зашифровал номера телефонов пользователей и добавил файл robots.txt, запрещающий роботам сканировать домен, и мета-тег noindex.
