Нова вразливість: WhatsApp відправляє номери телефонів користувачів в Google

Дослідник безпеки Атхул Джаярам (Athul Jayaram) попередив про загрозу, що представляється функцією месенджера WhatsApp під назвою Click to Chat. За його словами, функція дозволяє Google індексувати номери телефонів користувачів, і їх потім можна легко знайти за допомогою пошукової системи.

Click to Chat дозволяє сайтам швидко ініціювати бесіду в WhatsApp зі своїми відвідувачами. Функція працює шляхом присвоєння QR-коду номеру телефону власника ресурсу. Відвідувачу сайту досить лише просканувати QR-код або клікнути на URL-адресу, і почнеться діалог в WhatsApp. Вводити номер телефону при цьому не потрібно, однак, коли починається розмова, у користувача все одно є до нього доступ.

За словами Джаярама, проблема полягає в тому, що ці номери потім потрапляють в Google, оскільки пошукова система індексує метадані Click to Chat. Номер телефону входить в рядок URL (https://wa.me/), що призводить до його «витоку», вважає дослідник. Завдяки цьому спамери можуть легко створювати бази даних дійсних номерів і використовувати їх у своїх кампаніях. Сам дослідник виявив близько 300 тис. проіндексованих Google телефонних номерів.

Хоча номери телефонів не прив’язуються до імен їхніх власників, зловмисники все одно можуть дізнатися, кому вони належать. Якщо натиснути на URL-адресу з номером телефону в пошуковій видачі Google, відкриється профіль користувача разом з фотографією. Зловмисник може скористатися пошуком по картинці і зібрати достатньо даних про потенційну жертву.

Дослідник повідомив WhatsApp про своє відкриття, однак компанія відмовилася вважати його вразливістю, оскільки користувачі самі вважали за краще зробити свої номери телефонів публічними.