L'indicizzazione di Google dei numeri di WhatsApp solleva problemi di privacy
8 Giugno 2020 - Tempo di lettura: 13 minuti
Google sta indicizzando i numeri di telefono utilizzati su WhatsApp e un ricercatore teme che potrebbe causare problemi di privacy o essere utilizzato per scopi dannosi.
All'inizio di quest'anno, Bleeping Computer ha riferito come i link di invito a gruppi privati di app di messaggistica come WhatsApp e Telegram fossero visibili su Google, permettendo a chiunque di unirsi ai gruppi.
Questa settimana, il ricercatore di sicurezza Athul Jayaram ha evidenziato un problema con i numeri di telefono di contatto "go.me" del dominio "wa.me" di WhatsApp su Google.
Il dominio "wa.me" è di proprietà di WhatsApp e viene utilizzato per ospitare collegamenti del tipo "fai clic per chattare" che "ti consentono di iniziare una chat con qualcuno senza che il loro numero di telefono venga salvato nella rubrica del telefono".
Come affermato da Jayaram e confermato da BleepingComputer, non esiste alcun file "robots.txt" sui domini "wa.me" o "api.whatsapp.com" che istruisce i motori di ricerca a non eseguire la scansione dei numeri di telefono sul sito Web.
Di conseguenza, i collegamenti che iniziano con "https://wa.me/" vengono indicizzati da Google e altri motori di ricerca e vengono visualizzati nei risultati di ricerca.
"Poiché i singoli numeri di telefono vengono diffusi, un utente malintenzionato può inviare messaggi, chiamarli, vendere i loro numeri di telefono a operatori di marketing, spammer, truffatori", ha detto Jayaram a Threatpost.
Quando si fa clic, questi collegamenti reindirizzano a una pagina "api.whatsapp.com" che consente a un utente di "continuare a chattare" con l'utente WhatsApp.
Mentre questo potrebbe essere un potenziale problema di privacy, specialmente se gli spammer possono mettere le mani su numeri WhatsApp legittimi che vengono indicizzati da Google e inviarti messaggi di testo direttamente su WhatsApp, questo non è necessariamente un bug.
Come test, ho creato il link http://wa.me/11111 falso usando un numero di telefono falso.
Come puoi vedere di seguito, questo mi ha reindirizzato al link api.whatsapp.com/send?phone=11111, come mostrato di seguito. Questo link mostrava la stessa pagina di destinazione, dando l'impressione che il numero fosse un contatto WhatsApp valido, anche se non lo era.
Ciò significa che gli spammer non possono semplicemente sfruttare questa funzione per "enumerare" i numeri WhatsApp legittimi.
Forse è per questo motivo che Facebook aveva respinto il rapporto di bug bounty presentato da Jayaram sulla questione:
“Sebbene apprezziamo il rapporto di questo ricercatore e apprezziamo il tempo che ha impiegato per condividerlo con noi, non si è qualificato per un premio poiché conteneva semplicemente un indice del motore di ricerca degli URL che gli utenti di WhatsApp hanno scelto di rendere pubblici. Tutti gli utenti di WhatsApp, comprese le aziende, possono bloccare i messaggi indesiderati con il semplice tocco di un pulsante ", ha dichiarato Jayaram a Threatpost.
Inoltre, vale la pena notare che intere directory di numeri di telefono legittimi, indipendentemente dal fatto che abbiano un account WhatsApp / Telegram, sono pubblicate sul web.
Questa pratica dura da decenni prima che esistessero persino le app di messaggistica e permettesse a Google di indicizzare i numeri.
Pertanto, la pubblicazione di un semplice numero di telefono sul Web non si collega automaticamente a informazioni o password identificabili personalmente.
Jayaram ritiene ancora che l'indicizzazione pubblica dei numeri di telefono possa essere un rischio per la sicurezza o per la privacy, poiché molti dei nostri servizi online sono legati ai nostri numeri di telefono.
Il ricercatore raccomanda a WhatsApp di utilizzare un file robots.txt nei propri domini, impedendo a Google di eseguire la scansione di questi risultati e anche di crittografare i numeri di cellulare dell'utente.
"Purtroppo non l'hanno ancora fatto, e la tua privacy potrebbe essere in pericolo", ha detto.
"Oggi, il tuo numero di cellulare è collegato ai tuoi portafogli Bitcoin, Adhaar, conti bancari, UPI, carte di credito ... [permettendo] a un utente malintenzionato di eseguire scambi di carte SIM e attacchi di clonazione sapendo che il tuo numero di cellulare è una delle possibilità", ha dichiarato Jayaram.
Non è del tutto chiaro cosa si intende per "crittografia" dei numeri mobili in questo contesto, ma potrebbe essere offuscare i numeri con stringhe casuali, come questo URL bit.ly https://bit.ly/2Mxb5Hp, che reindirizza a BleepingComputer.
Purtroppo, al momento, WhatsApp non fornisce un modo per rendere privato il tuo numero di telefono.
Coloro che sono preoccupati per l'indicizzazione dovrebbero ottenere un numero di telefono virtuale da Google Voice o da un altro servizio simile.
