Исследователь безопасности Атул Джаярам (Athul Jayaram) обнаружил новую проблему с безопасностью в популярном мессенджере WhatsApp.
Она связана с функцией Click to Chat (Прямая связь), которая позволяет начать чат с человеком, номер которого не сохранён в адресной книге пользователя. Например, посетитель сайта-магазина может просканировать специальный QR-код на сайте и начать общение с поддержкой через WhatsApp.
Как оказалось, использование этой функции делает телефон пользователя доступным в результатах поиска Google. А это открывает двери для разного рода мошенничества и кибератак. Номера раскрываются через домен wa.me, принадлежащий WhatsApp, где хранятся метаданные Click to Chat в виде строк URL такого типа: https://wa.me/<WhatsApp number>. Никаких мер по предотвращению индексации поисковиками матаданных разработчики не предприняли и они спокойно находятся в открытом доступе.
Джаярам пояснил:
Ваш мобильный номер виден в виде простого текста в этом URL и любой человек, получивший этот URL, узнает ваш мобильный номер. Вы не можете избежать этого».
Произведя поиск по домену в Google, Джаярам обнаружил 300 тысячи номеров WhatsApp, которые стали достоянием общественности с помощью этого механизма.
Сделав это открытие 23 мая, Джаярам подал в Facebook стандартную заявку на вознаграждение за найденную уязвимость. Однако заявка была отклонена на том основании, что полная информация и так открыта в профилях пользователей WhatsApp.
Команда WhatsApp не считает находку проблемой. По словам представителя, индексируется та информация, которую сами пользователи согласились сделать открытой. Также подчёркивается, что от нежелательных сообщений любой пользователь может защититься «нажатием кнопки».