Новая уязвимость в WhatsApp: ваш номер телефона может попасть в результаты поиска Google

Основной причиной популярности мессенджера WhatsApp является повышенный уровень конфиденциальности ― за счет применения технологии сквозного шифрования сообщений. А учитывая сколько людей используют данный сервис мгновенных сообщений (более 2 миллиардов человек в более чем 180 странах), обнародование свежих брешей безопасности в популярном приложении выглядит довольно вопиюще. И на днях ИБ-специалисты нашли как раз такую уязвимость в WhatsApp, связанную с функцией приложения «click to chat».

«Функция «click to chat» в WhatsApp позволяет вам начать общение с кем-нибудь, даже если его номера телефона нет в адресной книге вашего телефона. Если вы узнаете номер телефона этого человека и у него есть активная учетная запись WhatsApp, вы можете создать ссылку, которая позволит вам начать общение с ним. При нажатии на ссылку автоматически открывается чат с этим человеком. Чат открывается как в приложении WhatsApp на вашем телефоне, так и в интернет-версии», ― объясняет нам WhatsApp.

Владельцы веб-сайтов могут использовать эту функцию, создавая QR-код, связанный с их номером телефона, и размещая код на своем сайте для посетителей (чтобы начать общение с ними). Посетитель, даже не вводя номер телефона, может сканировать QR-код или нажать на URL-ссылку, чтобы начать чат в WhatsApp.

Исследователь безопасности Атул Джаярам (Athul Jayaram) предупреждает, что с этой возможностью WhatsApp есть проблема: таким образом телефонные номера «утекают» через процедуру индексации сайтов поисковой системой Google. Суть проблемы, по словам Джаярама, заключается в том, что поисковые системы индексируют метаданные в ссылках wa.me, в которых содержатся номера мобильных телефонов пользователей. «Телефонный номер вашего мобильного виден в виде обычного текста в этом URL-адресе, и соответственно любой, кто получит доступ к ссылке, может его узнать. И вы не можете с этим ничего поделать», ― сообщает ИБ-специалист.

Джаяран говорит, что таким образом ему удалось найти порядка 300 000 телефонных номеров WhatsApp. Он также предупреждает, что такая возможность позволяет злоумышленникам отправлять фейковые сообщения, или осуществлять продажу телефонных номеров спамерам и мошенникам. Ещё хуже то, что немного покопавшись, можно раскрыть личность человека, посмотрев фотографию его профиля в WhatsApp. «Открыв профиль WhatsApp, они могут сохранять фотографию пользователя и потом через поиск изображений находить его учетные записи в социальных сетях и узнать гораздо больше о [целевом человеке]», ― добавил Джаярам.

Специалист пытался получить вознаграждение за найденную уязвимость от Facebook, который владеет WhatsApp, но ему было отказано, потому что служба мгновенных сообщений имеет свою собственную баунти-программу. Однако WhatsApp также отказал Джаяраму, заявив, что это не баг. «Хотя мы и ценим отчёт этого исследователя и ценим время, которое он потратил, чтобы поделиться им с нами, он не может претендовать на вознаграждение: потому что его отчёт просто содержал поисковую выдачу с URL-адресами, которые пользователи WhatsApp сами решили опубликовать. Все пользователи WhatsApp, включая компании, могут блокировать нежелательные сообщения одним нажатием кнопки», ― говорится в сообщении WhatsApp.

Несмотря на то, что Джаярам не получил своё вознаграждение, он твёрдо убеждён в том, что это — уязвимость в безопасности, и WhatsApp должны принять меры, чтобы её устранить.

Источник: 3dnews.ru