Опасная индексация: телефоны из WhatsApp попали в Google

Личные данные пользователей WhatsApp оказались под угрозой утечки, сообщил ИБ-исследователь из Индии. По его словам, всему виной новая функция «Click to Chat», использование которой приводит к индексации номеров телефонов юзеров в Google, и, как следствие, к появлению их в поисковой выдаче. 

«Ваш номер телефона из WhatsApp может утечь в интернет, и администрации наплевать, а вам?» — так начинается публикация исследователя кибербезопасности из Индии Атула Джаярама на форуме Medium. 

По словам Джараяма, он обнаружил в популярном мессенджере неприятную уязвимость. От нее пострадали пользователи из США, Великобритании, Индии и практически всех остальных стран мира.

Как оказалось, номера юзеров WhatsApp можно найти в сети в открытом доступе, при этом даже необязательно погружаться в даркнет — речь идет о поисковой выдаче Google.

Уязвимость кроется в функции «Click to Chat», которая позволяет начать диалог с пользователем WhatsApp, просканировав QR-код. Каждому аккаунту присваивается уникальный код, который в расшифрованном виде представляет собой ссылку формата https://wa.me/. В конце этой ссылки находится телефонный номер пользователя, который никак не прячется и не шифруется.

Этой ссылкой можно поделиться, например, в Twitter, чтобы ваши друзья могли быстро подключиться к чату с вами. Однако после единоразовой публикации ссылки в социальных сетях Google и другие поисковые системы начинают ее индексировать и показывать в качестве результатов в своей выдаче. При этом удаление ссылки уже не поможет — если она попала в Google, то там и останется.

Джаярам рассказал, что нашел в выдаче Google около 300 тыс. телефонных номеров из WhatsApp.

Учитывая, что этими номерами могут завладеть злоумышленники, нужно быть готовыми к звонкам и сообщениям от потенциальных спамеров или рекламщиков. По словам исследователя, обнаружившего уязвимость, самым верным решением будет удаление аккаунта и привязка нового номера телефона.

Атул Джаярам считает, что WhatsApp мог бы избежать этой проблемы, если бы применял шифрование к номерам телефонов пользователей, а не хранил их в виде простого текста.

В марте текущего года эксперты по информационной безопасности уже обвиняли мессенджер в хранении персональных данных в незашифрованном виде. 

Тогда претензии исследователей предназначались для функции двухфакторной аутентификации, в рамках которой владелец устройства сам выбирает себе шестизначный ПИН-код для дополнительной безопасности.

Как выяснили ИБ-эксперты, этот ПИН-код хранится в незашифрованном виде в «песочнице» мессенджера — области, к которой у других приложений по умолчанию нет доступа. Тем не менее существует ряд исключений, когда все же можно попасть в «песочницу» и узнать пользовательский пароль. Так, уязвимыми являются iPhone с джейлбрейком checkra1n, к которым у злоумышленника должен быть физический доступ. Кроме того, найти ПИН-код возможно у гаджетов на базе Android, если владелец имеет права root-доступа, которые предоставляют ему широкий ряд возможностей супер-администратора.


Источник : Газета.ru