WhatsApp — одно из самых популярных приложений для обмена сообщениями в мире, насчитывающее более миллиарда пользователей. Теперь исследователь безопасности обнаружил уязвимость в WhatsApp, которая привела к раскрытию некоторых телефонных номеров через поиск Google.
Атул Джаярам, независимый исследователь безопасности из Индии, объясняет в посте на Medium (через Android Central), что функция WhatsApp «Нажмите, чтобы начать чат» раскрывала телефонные номера общественности. Функция «Нажмите, чтобы начать чат» предназначена для бизнеса и предлагает пользователям быструю ссылку для начала разговора между бизнесом и клиентом. Эти ссылки генерируются с использованием короткой ссылки wa.me.
Функция звучит достаточно безобидно, но, похоже, имела непредвиденные последствия. Ссылки, по-видимому, хранят данные телефонных номеров в открытом тексте, вообще не шифруя их. Это было бы нормально, если бы они были скрыты, но веб-страницы, связанные с этими ссылками, не используют метаданные «noindex», чтобы избежать попадания в поисковые системы.
Что это значит? Для до 300 000 пользователей WhatsApp, которые использовали функцию «Нажмите, чтобы начать чат», их номера телефонов могут быть легко обнаружены в поиске Google. Эта проблема, похоже, затронула все регионы, включая Соединенные Штаты, Индию и другие. На «слитых» страницах содержались не только номера телефонов, но и фотографии профилей этих пользователей. Найти данные было так же просто, как ввести «site:wa.me» в Поиск и затем ввести код города.
Важно отметить, что Google здесь ни при чем. Поисковая система просто делает свою работу, индексируя веб и облегчая поиск этих данных.
Реалистично, этот проблема представляла низкий риск для многих пользователей, но все же приятно знать, что WhatsApp/Facebook уже все исправили.