НовостиОбзорыВсе о нейросетяхБытовая техника 2024ГаджетыТехнологииНаукаСоцсетиЛайфхакиFunПромокодыСтранные вопросыЭксперты

Пользователи WhatsApp попали в Google

8 июня 2020
В мессенджере есть функция «Прямая связь», из-за которой через поиск в интернете можно найти номера случайных людей.

Известный эксперт в области информационной безопаности Атхул Джаярам обнаружил проблему в WhatsApp. Мессенджер использует короткую ссылку «wa.me/<номер телефона>», чтобы пользователи могли добавлять контакт по одному клику. Только из-за этой функции номера телефонов оказались в открытом доступе — их можно «нагуглить».

Авторы издания Threatpost проверили это и убедились, что номера телефонов тысяч пользователей находятся через обычный запрос в Google. В Google попадают не все номера контакты из функции «Прямая связь», эксперты обнаружили больше 300 тысяч номеров из разных стран мира.

Мы проверили через поиск номера российских операторов связи. Например, в Google можно найти 7 тысяч случайных номеров с кодом «+7 925», которые принадлежат абонентам из Москвы. Это работает с другими операторами и регионами.

Это случилось из-за того, что страницы домена «wa.me» индексируются в поиске Google, а разработчики хранят номера телефонов в незашифрованном виде, как открытый текст. Подобная ситуация была в 2018 году, когда открытые документы из Google Drive и других сервисов попали в выдачу поиска «Яндекса».

Обычно функцию «Прямая связь» используют для работы, чтобы быстро поделиться ссылкой на чат с любым контактом. Ссылка может быть в виде обычного URL-адреса или зашифрована в QR-коде. Только проблема в том, что любой знакомый может создать короткую ссылку с вашим контактом, если у него есть номер телефона, и тогда он может попать в выдачу Google.

Представители WhatsApp и Facebook сказали Атхулу Джаяраму, что не видят в этом проблему безопасности пользователей. Они предлагают просто блокировать нежелательных собеседников, если они найдут их номер через Google. Со стороны Google проблемы тут нет, потому что поиск индексирует страницы, разработчики которых позволяют это делать. Чтобы эти сайты не попали в выдачу, достачно добавить несколько строчек в код.

Опасность в том, что номера телефонов случайных пользователей WhatsApp хранятся в открытом виде. Злоумышленники таким образом могут собрать базу данных пользователей, ведь у многих к аккаунту привязано реальное имя и фотографии. В лучшем случае эти номера будут использоваться для спама, но это еще могут быть целевые атаки для взлома, фишинг и прочее.

Это тоже интересно: