«Ваш номер телефона из WhatsApp может утечь в интернет, и администрации наплевать, а вам?» — так начинается публикация исследователя кибербезопасности из Индии Атула Джаярама на форуме Medium.
По словам Джараяма, он обнаружил в популярном мессенджере неприятную уязвимость. От нее пострадали пользователи из США, Великобритании, Индии и практически всех остальных стран мира.
Как оказалось, номера юзеров WhatsApp можно найти в сети в открытом доступе, при этом даже необязательно погружаться в даркнет — речь идет о поисковой выдаче Google.
Уязвимость кроется в функции «Click to Chat», которая позволяет начать диалог с пользователем WhatsApp, просканировав QR-код. Каждому аккаунту присваивается уникальный код, который в расшифрованном виде представляет собой ссылку формата https://wa.me/. В конце этой ссылки находится телефонный номер пользователя, который никак не прячется и не шифруется.
Этой ссылкой можно поделиться, например, в Twitter, чтобы ваши друзья могли быстро подключиться к чату с вами. Однако после единоразовой публикации ссылки в социальных сетях Google и другие поисковые системы начинают ее индексировать и показывать в качестве результатов в своей выдаче. При этом удаление ссылки уже не поможет — если она попала в Google, то там и останется.
Джаярам рассказал, что нашел в выдаче Google около 300 тыс. телефонных номеров из WhatsApp.
Учитывая, что этими номерами могут завладеть злоумышленники, нужно быть готовыми к звонкам и сообщениям от потенциальных спамеров или рекламщиков. По словам исследователя, обнаружившего уязвимость, самым верным решением будет удаление аккаунта и привязка нового номера телефона.
Атул Джаярам считает, что WhatsApp мог бы избежать этой проблемы, если бы применял шифрование к номерам телефонов пользователей, а не хранил их в виде простого текста.
В марте текущего года эксперты по информационной безопасности уже обвиняли мессенджер в хранении персональных данных в незашифрованном виде.
Тогда претензии исследователей предназначались для функции двухфакторной аутентификации, в рамках которой владелец устройства сам выбирает себе шестизначный ПИН-код для дополнительной безопасности.
Как выяснили ИБ-эксперты, этот ПИН-код хранится в незашифрованном виде в «песочнице» мессенджера — области, к которой у других приложений по умолчанию нет доступа. Тем не менее существует ряд исключений, когда все же можно попасть в «песочницу» и узнать пользовательский пароль. Так, уязвимыми являются iPhone с джейлбрейком checkra1n, к которым у злоумышленника должен быть физический доступ. Кроме того, найти ПИН-код возможно у гаджетов на базе Android, если владелец имеет права root-доступа, которые предоставляют ему широкий ряд возможностей супер-администратора.