Το WhatsApp έχει γίνει η νούμερο ένα εφαρμογή ανταλλαγής μηνυμάτων για κινητά, καθώς το Facebook προσπάθησε να την κάνει κάτι περισσότερο από ένα απλό εργαλείο που επιτρέπει στους χρήστες να συνομιλήσουν από Android και iOS.
Η λειτουργία Click to Chat, για παράδειγμα, επιτρέπει σε δύο λογαριασμούς του WhatsApp να έρχονται σε επαφή μεταξύ τους χρησιμοποιώντας ένα κωδικό QR ή μια προσαρμοσμένη διεύθυνση URL.
Υποτίθεται ότι η συγκεκριμένη λειτουργία χρησιμοποιείται από τις επιχειρήσεις για να επιτρέπουν στους πελάτες τους να επικοινωνούν άμεσα, καθώς το Click to Chat απαιτεί μόνο μια σάρωση ενός QR code για να ξεκινήσουν μια συνεδρία ανταλλαγής μηνυμάτων χωρίς καν να γνωρίζουν τον αριθμό τηλεφώνου της άλλης πλευράς.
Ωστόσο, ο αριθμός τηλεφώνου αποκαλύπτεται μόλις ξεκινήσει η συνομιλία γιατί ο κωδικός QR και οι διευθύνσεις URL συμπεριλαμβάνουν αυτή την πληροφορία επειδή το Click to Chat δεν θα μπορούσε να συνδέσει αλλιώς τους δύο λογαριασμούς.
Ο ερευνητής ασφαλείας Athul Jayaram ανακάλυψε ότι η συγκεκριμένη δυνατότητα που εκθέτει τους αριθμούς τηλεφώνου των χρηστών, καθώς θα μπορούσαν να καταχωριστούν στο ευρετήριο από την Google λόγω του τρόπου δημιουργίας του QR.
Βασικά, όλα οφείλονται στα μεταδεδομένα που συμπεριλαμβάνονται στο QR code ή στην προσαρμοσμένη διεύθυνση URL τα οποία, όπως αναφέραμε παραπάνω συμπεριλαμβάνουν τηλεφωνικούς αριθμούς. Το WhatsApp χρησιμοποιεί έναν δημόσιο domain που ονομάζεται wa.me για όλο το θέμα και μόλις η Google ξεκινήσει την ανίχνευση των σελίδων που φιλοξενούνται εκεί, θα έχει όλους τους συνδέσμους Click to Chat που έχουν δημιουργηθεί, μαζί με τους τηλεφωνικούς αριθμούς.
Ουσιαστικά, η Google μπορεί να διαβάζει τους αριθμούς τηλεφώνου και στη συνέχεια τους ευρετηριάζει, καθιστώντας δυνατό σε όλους να ανακαλύψουν έναν συγκεκριμένο αριθμό τηλεφώνου.
Αρχικά μπορεί να μην σας φαίνεται κάτι μεγάλο, αλλά όπως εξηγεί ο ερευνητής σε μια ανάλυση που δημοσίευσε στο Threatpost, κακόβουλοι χρήστες θα μπορούσαν να συλλέγουν πολύ περισσότερες πληροφορίες από αυτές που συλλέγουν αυτή τη στιγμή. Για παράδειγμα, μόλις κάποιος κακόβουλος χρήστης καταλάβει τον αριθμό τηλεφώνου κάποιου, μπορεί να αποκτήσει πρόσβαση στην εικόνα του προφίλ του στο WhatsApp και, στη συνέχεια, να χρησιμοποιήσει τη φωτογραφία για να αναζητήσει στα μέσα κοινωνικής δικτύωσης άλλες πληροφορίες για να τις συσχετίσει με περισσότερους λογαριασμούς και συνεπώς να λάβει επιπρόσθετες πληροφορίες.
Ο ερευνητής αναφέρει ότι ανακάλυψε περίπου 300.000 αριθμούς τηλεφώνου του WhatsApp στην Google, οπότε ειδοποίησε την εταιρεία που ανήκει στο Facebook μέσω ενός προγράμματος bug bounty.
Η WhatsApp, από την άλλη πλευρά, ανέφερε ότι οι ίδιοι οι χρήστες αποφασίζουν εάν θέλουν να μοιραστούν οποιεσδήποτε πληροφορίες.
“Ενώ εκτιμούμε αυτήν την αναφορά του ερευνητή και εκτιμούμε το χρόνο που αφιέρωσε για να την μοιραστεί μαζί μας, δεν πληροί τις προϋποθέσεις για το bug bounty, καθώς περιείχε απλώς ένα ευρετήριο μηχανών αναζήτησης με διευθύνσεις URL που επέλεξαν οι χρήστες του WhatsApp να δημοσιοποιήσουν. Όλοι οι χρήστες του WhatsApp, συμπεριλαμβανομένων των επιχειρήσεων, μπορούν να αποκλείσουν την δημοσιοποίηση με το πάτημα ενός κουμπιού”, ανέφερε ένας εκπρόσωπος της εταιρείας.
Ταυτόχρονα, η Google αναφέρει ότι ευρετηριάζει μόνο δημόσιες σελίδες και μόνο οι webmaster μπορούν να αφαιρέσουν τις διευθύνσεις URL.
