Brojevi telefona korisnika WhatsAppa dostupni u Google pretrazi

Vesti, 09.06.2020, 10:30 AM

“Lovac na bagove”, indijski nezavisni istraživač Atul Džajaram, otkrio je da Google indeksira telefonske brojeve koji se koriste na WhatsAppu, i upozorio da bi to moglo izazvati probleme sa privatnošću korisnika ili se koristiti u zlonamerne svrhe.

On je upozorio da funkcija WhatsAppa koja se zove „Click to Chat“ dovodi u rizik brojeve korisnika aplikacije, omogućavajući Google pretrazi da ih indeksira tako da ih svako može pronaći. Ali Facebook, u čijem je vlasništvu WhatsApp, kaže da to nije velika stvar i da rezultati pretraživanja samo otkrivaju ono što su korisnici u svakom slučaju odlučili da objave.

Džajaram kaže da su brojevi telefona “procureli” što smatra bezbednosnom greškom koja ugrožava privatnost korisnika WhatsAppa.

Click to Chat nudi veb sajtovima jednostavan način za pokretanje WhatsApp čet sesije sa posetiocima veb sajta. To funkcioniše tako što povezuje sliku QR (Quick Response) koda, kreiranu pomoću drugog servisa, sa brojem mobilnog telefona korisnika WhatsAppa. To omogućava posetiocu da skenira QR kod veb sajta ili klikne na URL da bi pokrenuo WhatsApp chat sesiju a da ne mora sam da bira broj. Međutim, taj posetilac još uvek ima pristup telefonskom broju nakon što je poziv pokrenut.

Problem je, rekao je Džajaram, to što se ti brojevi mobilnih telefona mogu pojaviti i u rezultatima Google pretrage, jer pretraživači indeksiraju metapodate klika. Telefonski brojevi se otkrivaju kao deo URL-a (https://wa.me/<telefonski_broj>), i to u stvari “propušta” brojeve mobilnih telefona korisnika WhatsAppa u tekstualnom obliku.

Domen “wa.me” je u vlasništvu WhatsAppa.

„Vaš mobilni broj je vidljiv u običnom tekstu u ovom URL-u i svako ko dođe do tog URL-a može saznati vaš broj mobilnog“, rekao je Džajaram.

On tvrdi da to spamerima olakšava da dođu do telefonskih brojeva koji su im potrebni za kampanje. Džajaram je rekao da je otkrio da je Google indeksirao 300000 telefonskih brojeva korisnika WhatsApp.

Džajaram tvrdi da zbog toga Click to Chat jeste bezbednosni problem koji bi mogao dovesti do zloupotreba i prevara.

Procurele telefonske brojeve napadači mogu koristiti za slanje poruka korisnicima, koje takođe mogu pozivati, prodavati njihove brojeve telefona trgovcima, spamerima i prevarantima.

Budući da WhatsApp identifikuje korisnike prema telefonskim brojevima, Google pretraga je otkrila samo telefonske brojeve, ali ne i identitete korisnika sa kojima su povezani, objasnio je Džajaram. Međutim, on je rekao da je takođe mogao da vidi slike profila korisnika na WhatsAppu zajedno sa njihovim brojevima telefona, samo klikom na URL-ove telefonskog broja Google pretrage, što ga je dovelo do WhatsApp profila. Haker bi mogao da pretražuje sliku profila korisnika kako bi na društvenim mrežama prikupio dovoljno podataka za utvrđivanje identiteta korisnika i otkrio mnogo više o njemu. Većina korisnika koristi istu sliku profila na različitim nalozima na društvenim mrežama. Sve ovo može biti dobra polazna tačka za krađu identiteta.

Sa svoje strane, WhatsApp opisuje Click to Chat kao funkciju koja omogućava korisnicima da započnu čet sa nekim čiji telefonski broj nije sačuvan u adresaru telefona i da Click to Chat firme koriste za povezivanje sa svojim kupcima.

Džajaram kaže da mnogi korisnici Click to Chat opcije nisu svesni da se njihovi telefonski brojevi čuvaju u tekstualnom obliku, da ih Google indeksa i da se mogu otkriti preko relativno jednostavnog upita za pretragu. Mnogi od onih kojima je ukazao na ovaj problem bili su zabrinuti zbog toga što su njihovi telefonski brojevi dostupni na internetu.

Nakon što je 23. maja otkrio ovaj problem, Džajaram je kontaktirao Facebook u vezi sa tim preko Facebookovog programa za bagove. Međutim, Facebook mu je odgovorio da program pokriva zloupotrebu podataka samo za Facebook, a ne i za WhatsApp. Portparol WhatsAppa je, međutim, rekao da je WhatsApp deo ovog programa.

“Iako cenimo izveštaj ovog istraživača i vreme koje je odvojio da ga podeli sa nama, ne smatramo da je to problem jer sadrži indeks pretraživača URL-ova koje su korisnici WhatsAppa izabrali da učine javnim. Svi korisnici, uključujući kompanije, mogu da blokiraju neželjene poruke jednim pritiskom na dugme”, rekli su iz kompanije.