一位研究人员发现,与WhatsApp账户绑定的电话号码在谷歌搜索上被公开索引,这给用户带来了他所说的“隐私问题”。
一名研究人员警告说,WhatsApp的一项名为“点击聊天”的功能会让用户的手机号码处于危险之中--因为它允许谷歌搜索对用户的手机号码进行索引,以便任何人都能找到。但WhatsApp的所有者Facebook表示,这没什么大不了的,搜索结果只是揭示了用户选择公开的内容。
发现这一问题的漏洞赏金猎人阿萨尔·贾亚拉姆(Athul Jayaram)称电话号码“泄露”,并将这种情况描述为安全漏洞,将WhatsApp用户的隐私置于危险境地。
点击聊天为网站提供了一种与网站访问者发起WhatsApp聊天会话的简单方式。它的工作原理是将快速响应(QR)码图像(通过第三方服务创建)与网站所有者的WhatsApp手机号码相关联。这使得访问者可以扫描网站的二维码或点击URL来启动WhatsApp聊天会话,而不需要访问者自己拨打号码。然而,一旦发起呼叫,该访问者仍然可以访问该电话号码。
Jayaram说,问题是这些手机号码也可能出现在谷歌搜索结果中,因为搜索引擎索引点击聊天元数据。根据研究人员的观点,电话号码被显示为网址字符串(https://wa.me/<;phone_number>;))的一部分,因此,这实际上是以明文“泄露”了WhatsApp用户的手机号码。
根据WHOIS的记录,“wa.me”域名由WhatsApp拥有和维护。
“您的手机号码在此URL中以纯文本形式可见,任何获得该URL的人都可以知道您的手机号码。你不能撤销它,“Jayaram在周五与Threatpost独家分享的研究中说。
他认为,这使得垃圾邮件发送者更容易汇编合法的电话号码来发起活动。研究人员说,使用一个特制的域名https://wa.me/,的搜索字符串,他发现谷歌索引了300,000个WhatsApp电话号码。
贾亚拉姆认为,正因为如此,点击聊天带来了一个重要的安全问题,可能会导致滥用和欺诈。
他说:“当个人电话号码被泄露时,攻击者可以给他们发短信,给他们打电话,把他们的电话号码卖给营销者、垃圾邮件制造者和诈骗者。”
Jayaram解释说,因为WhatsApp通过电话号码(而不是用户名或电子邮件ID)来识别用户,所以谷歌搜索只显示了电话号码,而不是他们所连接的用户的身份。然而,这位研究人员表示,他也可以看到WhatsApp上用户的个人资料图片和他们的电话号码,只需点击谷歌搜索电话号码URL,这就把他带到了他们的WhatsApp个人资料。接下来,意志坚定的黑客可以对用户的头像进行反向图像搜索,希望收集到足够的线索来确定用户的身份。
他告诉Threatpost:“通过WhatsApp个人资料,他们可以看到用户的头像,并进行反向图像搜索,找到他们的其他社交媒体账户,发现更多关于(目标个人)的信息。”
根据Jayaram的说法,将电话号码与姓名和地址配对可能是身份窃贼的有力起点。他说:“大多数用户在其他社交媒体账户上确实使用相同的个人资料图片,用户个人资料也可以很容易地找到。”
就WhatsApp而言,它将点击聊天描述为一项便利的福利,即允许用户开始与某人聊天,而无需将他们的电话号码保存在手机地址簿中。
WhatsApp的一位发言人告诉Threatpost:“我们的点击聊天功能让用户可以用他们的电话号码创建一个URL,这样任何人都可以很容易地给他们发信息。世界各地的小企业和微型企业都广泛使用这一功能来与他们的客户联系。”
研究人员坚持认为,许多点击聊天用户没有意识到,他们的电话号码是以明文存储的,由谷歌搜索索引,可以通过相对简单的搜索查询找到。
他告诉Threatpost,他联系的用户表达了对他们的电话号码在线可用并被谷歌搜索索引的担忧。
Threatpost还联系了几名WhatsApp用户,他们的号码被谷歌搜索(Google Search)索引-一些人意识到他们的号码是公开的-并通过这种方式在网上推广他们的业务或个人联系。
“我的电话号码在网上是公开的。没有必要牵涉到WhatsApp,“一位用户告诉Threatpost,他解释说点击聊天很方便,让他的网站访问者很容易。“我这样做是为了方便人们联系我。令人惊讶的是,我收到的垃圾电话很少,“他说。
一位用户告诉Threatpost:“不,我根本不想公开我的号码。”“我为我的企业设置了WhatsApp,这样人们就可以在没有我号码的情况下直接发短信。”
Jayaram在5月23日发现这个问题后说,他通过WhatsApp所有者Facebook的漏洞赏金计划联系了这个问题。然而,Facebook回应他说,数据滥用只适用于Facebook平台,而不适用于WhatsApp。另一方面,WhatsApp的一位发言人告诉Threatpost,WhatsApp是数据滥用赏金计划的一部分。
“虽然我们感谢这位研究人员的报告,并珍惜他花时间与我们分享这份报告,但这份报告没有资格获得赏金,因为它只包含了WhatsApp用户选择公开的URL的搜索引擎索引。”所有WhatsApp用户,包括企业,都可以通过轻触按钮来屏蔽不想要的消息,“他说。
谷歌搜索索引也是今年早些时候发现的WhatsApp故障的核心,此前DW新闻的一名记者发现,谷歌搜索引擎正在索引WhatsApp群组的邀请链接。这意味着,如果互联网上任何地方都存在私人群组的链接,任何人都有可能找到它们,并通过快速的谷歌搜索加入WhatsApp群组。通过这种方式,数十万个组可能是可访问的。
当时,谷歌搜索的公共联络人丹尼·沙利文在推特上说,这种情况“与任何一个网站允许URL公开上市的情况没有什么不同”,但他表示,谷歌确实提供了允许网站屏蔽被列出内容的工具。
谷歌(Google&;)等搜索引擎列出了来自开放网络的页面。这就是这里正在发生的事情。这与站点允许公开列出URL的任何情况没有什么不同。我们确实提供了允许网站阻止在我们的结果中列出的内容的工具:https://t.co/D1YIt228E3。
谷歌的一位发言人告诉Threatpost,关于谷歌搜索,沙利文说的仍然是正确的。根据谷歌的说法,它和其他搜索引擎对开放网络上可用的页面进行了索引。谷歌不能从网站上删除URL(只有网站管理员才能这样做),所以即使从谷歌的搜索结果中删除了一些东西,它仍然可以出现在其他搜索引擎的结果中。
Jayaram建议WhatsApp加密用户手机号码,并添加一个robots.txt文件,以禁止机器人爬行他们的域。
“不幸的是,他们还没有这么做,你的隐私可能会受到威胁,”他说。“今天,你的手机号码与你的比特币钱包、adhaar、银行账户、upi、信用卡…联系在一起。[允许]攻击者通过知道您的手机号码来执行SIM卡交换和克隆攻击是另一种可能。“