Un ricercatore ha scoperto che i numeri di telefono associati agli account WhatsApp sono indicizzati pubblicamente su Google Search: la funzione di WhatsApp “Click to Chat” mette a rischio i numeri di cellulare degli utenti, consentendo a Google di indicizzarli affinché chiunque possa trovarli.
Il ricercatore di sicurezza Athul Jayaram, che ha scoperto il problema, definisce i numeri di telefono “trapelati” e caratterizza la situazione come un bug di sicurezza che mette a rischio la privacy degli utenti di WhatsApp. Nonostante Google riveli solo i numeri di telefono e non le identità degli utenti in questione, attori malevoli potrebbero visualizzare le foto del profilo degli utenti su WhatsApp ed eseguire una ricerca di immagini inverse nella foto del profilo dell’utente per raccogliere ulteriori informazioni sulla potenziale vittima (ossia estrazione di account di social media in cui la vittima utilizza la stessa immagine del profilo).
La perdita di dati è stata scoperta con il dominio “wa.me”, di proprietà e gestito da WhatsApp: “il problema è che quei numeri di cellulare possono anche apparire nei risultati di ricerca di Google, poiché i metadati dei motori di ricerca fanno clic sulle chat, i numeri di telefono vengono rivelati come parte di una stringa URL e quindi, questo in effetti “perde” i numeri di telefono cellulare degli utenti di WhatsApp in testo normale”, secondo il ricercatore.
“Il tuo numero di cellulare è visibile in chiaro in questo URL e chiunque sia in possesso dell’URL può conoscere il tuo numero di cellulare. Non puoi revocarlo”, ha detto Jayaram, in una ricerca condivisa esclusivamente con Threatpost.
Jayaram ha dimostrato che è abbastanza semplice trovare numeri di telefono degli utenti di WhatsApp online trapelati da “wa.me”. Utilizzando una stringa di ricerca appositamente predisposta del dominio https://wa.me/, avrebbe scoperto che Google ha indicizzato 300.000 numeri di telefono WhatsApp.
Dal momento che i singoli numeri di telefono vengono persi, un utente malintenzionato può inviare da questi messaggi, telefonate, vendere i loro numeri di telefono a operatori di marketing, spammer, truffatori. IL ricercatore ha affermato anche di essere stato in grado di vedere le foto del profilo degli utenti su WhatsApp insieme ai loro numeri di telefono, cliccando semplicemente sulle URL dei numeri di telefono di Google Search. Quindi un hacker potrebbe invertire l’immagine per cercare l’immagine del profilo dell’utente per raccogliere abbastanza elementi per stabilire l’identità dell’utente.
Secondo Jayaram, molti utenti di Click to Chat non sono consapevoli del fatto che i loro numeri di telefono vengono archiviati in testo normale, indicizzati da Google Search e rilevabili tramite una query di ricerca relativamente semplice.
Il ricercatore ha dichiarato che gli utenti che sono stati contattati hanno espresso preoccupazione per il fatto che i loro numeri di telefono erano disponibili online e indicizzati da Google e che dopo aver scoperto il problema il 23 maggio, ha contattato Facebook in merito al problema. La risposta da parte di Facebook è stata che “l’abuso di dati è coperto solo per le piattaforme di Facebook e non per WhatsApp”. Un portavoce di WhatsApp invece ha comunicato a Threatpost che WhatsApp fa parte del programma di ricompensa dell’abuso di dati riferendo che nonostante apprezzassero il rapporto di questo ricercatore e a il tempo dedicato per condividerlo con loro, non si è qualificato per un premio poiché conteneva semplicemente un indice del motore di ricerca di URL che gli utenti di WhatsApp hanno scelto di rendere pubblici.
https://threatpost.com/whatsapp-phone-numbers-google-search-results/156141/