Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Опасная индексация: телефоны из WhatsApp попали в Google

Телефоны пользователей WhatsApp оказались в поисковой выдаче Google

Личные данные пользователей WhatsApp оказались под угрозой утечки, сообщил ИБ-исследователь из Индии. По его словам, всему виной новая функция «Click to Chat», использование которой приводит к индексации номеров телефонов юзеров в Google, и, как следствие, к появлению их в поисковой выдаче.

«Ваш номер телефона из WhatsApp может утечь в интернет, и администрации наплевать, а вам?» — так начинается публикация исследователя кибербезопасности из Индии Атула Джаярама на форуме Medium

По словам Джараяма, он обнаружил в популярном мессенджере неприятную уязвимость. От нее пострадали пользователи из США, Великобритании, Индии и практически всех остальных стран мира.

Как оказалось, номера юзеров WhatsApp можно найти в сети в открытом доступе, при этом даже необязательно погружаться в даркнет — речь идет о поисковой выдаче Google.

Уязвимость кроется в функции «Click to Chat», которая позволяет начать диалог с пользователем WhatsApp, просканировав QR-код. Каждому аккаунту присваивается уникальный код, который в расшифрованном виде представляет собой ссылку формата https://wa.me/. В конце этой ссылки находится телефонный номер пользователя, который никак не прячется и не шифруется.

Этой ссылкой можно поделиться, например, в Twitter, чтобы ваши друзья могли быстро подключиться к чату с вами. Однако после единоразовой публикации ссылки в социальных сетях Google и другие поисковые системы начинают ее индексировать и показывать в качестве результатов в своей выдаче. При этом удаление ссылки уже не поможет — если она попала в Google, то там и останется.

Джаярам рассказал, что нашел в выдаче Google около 300 тыс. телефонных номеров из WhatsApp.

Учитывая, что этими номерами могут завладеть злоумышленники, нужно быть готовыми к звонкам и сообщениям от потенциальных спамеров или рекламщиков. По словам исследователя, обнаружившего уязвимость, самым верным решением будет удаление аккаунта и привязка нового номера телефона.

Атул Джаярам считает, что WhatsApp мог бы избежать этой проблемы, если бы применял шифрование к номерам телефонов пользователей, а не хранил их в виде простого текста.

В марте текущего года эксперты по информационной безопасности уже обвиняли мессенджер в хранении персональных данных в незашифрованном виде.

Тогда претензии исследователей предназначались для функции двухфакторной аутентификации, в рамках которой владелец устройства сам выбирает себе шестизначный ПИН-код для дополнительной безопасности.

Как выяснили ИБ-эксперты, этот ПИН-код хранится в незашифрованном виде в «песочнице» мессенджера — области, к которой у других приложений по умолчанию нет доступа. Тем не менее существует ряд исключений, когда все же можно попасть в «песочницу» и узнать пользовательский пароль. Так, уязвимыми являются iPhone с джейлбрейком checkra1n, к которым у злоумышленника должен быть физический доступ. Кроме того, найти ПИН-код возможно у гаджетов на базе Android, если владелец имеет права root-доступа, которые предоставляют ему широкий ряд возможностей супер-администратора.

Новости и материалы
Отец Эдуарда Шарлота отреагировал на письмо РПЦ в его защиту
В Совфеде назвали единственную гарантию стабильного развития Евразии
В Минобороны рассказали о потерях ВСУ на Курском направлении
В России заявили, что Франция и Британия заплатят за помощь Украине
Овечкина застукали с пивом
Марго Робби с мужем и новорожденным сыном прогулялась по Лос-Анджелесу
Россиянина отправили за решетку на 3,5 года за секс со школьницей
СК собрался усиленно бороться с криминальными банкротствами
В Москве в субботу выпадет треть месячной нормы осадков
Samsung выпустит в 2025 году тройную «раскладушку» Z Fold7
Песков рассказал о борьбе с фейками в западных СМИ
В Саранске ребенку едва не оторвало пальцы взрывом петарды
Пользователям Windows 11 стала доступна шпионящая за ними функция Recall
Меркель рассказала, почему Зеленский считает ее «козлом отпущения»
Получено более 6 тысяч заявок на поиск пропавших жителей Курской области
Бойцы ВС РФ уничтожили десант ВСУ, мешавший «ураганному» продвижению в Харьковской области
«Я создал монстра»: экс-глава ФИФА обвинил организацию в жадности
Банки ОАЭ перестали обслуживать карты Газпромбанка системы UnionPay
Все новости