Что за связанную с QR-кодами уязвимость нашли в WhatsApp?
Независимый исследователь из Индии Атул Джаярам (Athul Jayaram), специализирующийся на кибербезопасности, сообщил в своем блоге, что выявил новую уязвимость в мессенджере WhatsApp. Оказалось, что номера телефонов пользователей «утекают» и их легко можно найти через поисковую систему Google. Происходит это из-за новой функции «Прямая связь», которая позволяет начать диалог с человеком, даже если его номер не сохранен в адресной книге пользователя.
Что за QR-код и функция «Прямая связь»?
В WhatsApp не так давно появилась функция «Прямая связь» (англ. «Click to Chat»). С ее помощью любой пользователь может сгенерировать специальную ссылку или QR-код с данными о его профиле. Чтобы начать диалог с этим пользователем, достаточно просканировать код или перейти по URL-ссылке, после чего сразу откроется диалоговое окно в веб-бразуере или в приложении мессенджера, если он установлен на устройстве.
Как номер телефона попадает из WhatsApp в открытый доступ?
Проблема в том, что при генерации URL-ссылки номер телефона не шифруется и отображается в тексте самой ссылки. То есть любой человек, который получил доступ к этой ссылке, также узнает и номер телефона. Кроме того, когда пользователь публикует на каком-либо сайте свой QR-код или URL-ссылку, их индексируют поисковые роботы. То есть, даже если позднее человек удалит пост со ссылкой, она все равно останется в базе данных поисковой машины. Как отмечает Джаярам, ссылки, генерируемые WhatsApp, не имеют никаких защитных механизмов, чтобы препятствовать поисковым роботам и избежать индексации.
На момент публикации исследования Джаяраму удалось найти около 300 тысяч телефонных номеров пользователей WhatsApp через Google. Для этого ему потребовалось только набрать в поиске «site:wa.me» или «site:api.whatsapp.com», где «wa.me» и «api.whatsapp.com» – части URL-ссылок, которые генерирует мессенджер.
Номерами, оказавшимися в открытом доступе, могут воспользоваться злоумышленники: их можно использовать для рассылки спама по SMS или спам-звонков. Более того, как сообщает эксперт, с помощью номера телефона можно увидеть данные профиля пользователя в WhatsApp (его фото и имя) и, воспользовавшись поиском по изображению, найти другие социальные сети человека и узнать о нем персональную информацию.
Устранил ли Facebook уязвимость в мессенджере?
Атул Джаярам направил результаты своего исследования в Facebook. У компании есть «Программа вознаграждений за поиск уязвимостей» (англ. «Data Abuse Bounty program»), в рамках которой пользователи, обнаружившие какие-либо уязвимости и сообщившие об этом Facebook, могут получить денежное вознаграждение. Однако представители Facebook ответили Джаяраму, что действие программы не распространяется на WhatsApp.
Тем не менее позже компания все-таки отреагировала на сообщение о баге и исправила ошибку в ссылках вида «wa.me», заверив пользователей, что теперь телефонные номера не будут отображаться в поиске. Однако нерешенным остается вопрос со ссылками типа «api.whatsapp.com». Они все еще доступны через Google и содержат незашифрованные номера телефонов, как отмечает Джаярам.
