Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

Опасная индексация: телефоны из WhatsApp попали в Google

Телефоны пользователей WhatsApp оказались в поисковой выдаче Google

Личные данные пользователей WhatsApp оказались под угрозой утечки, сообщил ИБ-исследователь из Индии. По его словам, всему виной новая функция «Click to Chat», использование которой приводит к индексации номеров телефонов юзеров в Google, и, как следствие, к появлению их в поисковой выдаче.

«Ваш номер телефона из WhatsApp может утечь в интернет, и администрации наплевать, а вам?» — так начинается публикация исследователя кибербезопасности из Индии Атула Джаярама на форуме Medium

По словам Джараяма, он обнаружил в популярном мессенджере неприятную уязвимость. От нее пострадали пользователи из США, Великобритании, Индии и практически всех остальных стран мира.

Как оказалось, номера юзеров WhatsApp можно найти в сети в открытом доступе, при этом даже необязательно погружаться в даркнет — речь идет о поисковой выдаче Google.

Уязвимость кроется в функции «Click to Chat», которая позволяет начать диалог с пользователем WhatsApp, просканировав QR-код. Каждому аккаунту присваивается уникальный код, который в расшифрованном виде представляет собой ссылку формата https://wa.me/. В конце этой ссылки находится телефонный номер пользователя, который никак не прячется и не шифруется.

Этой ссылкой можно поделиться, например, в Twitter, чтобы ваши друзья могли быстро подключиться к чату с вами. Однако после единоразовой публикации ссылки в социальных сетях Google и другие поисковые системы начинают ее индексировать и показывать в качестве результатов в своей выдаче. При этом удаление ссылки уже не поможет — если она попала в Google, то там и останется.

Джаярам рассказал, что нашел в выдаче Google около 300 тыс. телефонных номеров из WhatsApp.

Учитывая, что этими номерами могут завладеть злоумышленники, нужно быть готовыми к звонкам и сообщениям от потенциальных спамеров или рекламщиков. По словам исследователя, обнаружившего уязвимость, самым верным решением будет удаление аккаунта и привязка нового номера телефона.

Атул Джаярам считает, что WhatsApp мог бы избежать этой проблемы, если бы применял шифрование к номерам телефонов пользователей, а не хранил их в виде простого текста.

В марте текущего года эксперты по информационной безопасности уже обвиняли мессенджер в хранении персональных данных в незашифрованном виде.

Тогда претензии исследователей предназначались для функции двухфакторной аутентификации, в рамках которой владелец устройства сам выбирает себе шестизначный ПИН-код для дополнительной безопасности.

Как выяснили ИБ-эксперты, этот ПИН-код хранится в незашифрованном виде в «песочнице» мессенджера — области, к которой у других приложений по умолчанию нет доступа. Тем не менее существует ряд исключений, когда все же можно попасть в «песочницу» и узнать пользовательский пароль. Так, уязвимыми являются iPhone с джейлбрейком checkra1n, к которым у злоумышленника должен быть физический доступ. Кроме того, найти ПИН-код возможно у гаджетов на базе Android, если владелец имеет права root-доступа, которые предоставляют ему широкий ряд возможностей супер-администратора.

Новости и материалы
Ведущий «Модного приговора» позавтракал в небе на воздушном шаре
Названа причина крупного ДТП в Лефортовском тоннеле в Москве
Экс-чемпион мира по боксу захотел избить Роналду
В ЕС анонсировали санкции против «теневого флота РФ» из-за инцидента в Балтийском море
После COVID-19 функции почек быстро угасают, выяснили ученые
Политолог объяснил, почему Западу выгодно крушение Ursa Major
Семья москвичей лишилась 22 млн рублей из-за мошенников
В Раду внесли закон, отменяющий защиту русского языка
Вучич обсудил с Зеленским двустороннее сотрудничество
Лошадь прокусила ребенку ногу в конном клубе Ленобласти
Москвич заманил школьницу в подъезд и изнасиловал
РФС пожизненно отстранил футболиста «Пари НН» за организацию договорных матчей
Путин переговорил с губернатором Белгородской области
Три машины попали в ДТП в Лефортовском тоннеле Москвы
В Израиле выступили за снятие санкций с российских клубов и сборной
Авиаудар по Сане повредил здания вблизи самолета делегации ВОЗ
Россиянин предложил таксисту за поездку три украденные упаковки подгузников вместо денег
В Омске пенсионер попросил знакомых купить продукты и лишился 900 тыс рублей
Все новости