Brojevi telefona korisnika WhatsAppa dostupni u Google pretrazi

Vesti, 09.06.2020, 10:30 AM

Brojevi telefona korisnika WhatsAppa dostupni u Google pretrazi

“Lovac na bagove”, indijski nezavisni istraživač Atul Džajaram, otkrio je da Google indeksira telefonske brojeve koji se koriste na WhatsAppu, i upozorio da bi to moglo izazvati probleme sa privatnošću korisnika ili se koristiti u zlonamerne svrhe.

On je upozorio da funkcija WhatsAppa koja se zove „Click to Chat“ dovodi u rizik brojeve korisnika aplikacije, omogućavajući Google pretrazi da ih indeksira tako da ih svako može pronaći. Ali Facebook, u čijem je vlasništvu WhatsApp, kaže da to nije velika stvar i da rezultati pretraživanja samo otkrivaju ono što su korisnici u svakom slučaju odlučili da objave.

Džajaram kaže da su brojevi telefona “procureli” što smatra bezbednosnom greškom koja ugrožava privatnost korisnika WhatsAppa.

Click to Chat nudi veb sajtovima jednostavan način za pokretanje WhatsApp čet sesije sa posetiocima veb sajta. To funkcioniše tako što povezuje sliku QR (Quick Response) koda, kreiranu pomoću drugog servisa, sa brojem mobilnog telefona korisnika WhatsAppa. To omogućava posetiocu da skenira QR kod veb sajta ili klikne na URL da bi pokrenuo WhatsApp chat sesiju a da ne mora sam da bira broj. Međutim, taj posetilac još uvek ima pristup telefonskom broju nakon što je poziv pokrenut.

Problem je, rekao je Džajaram, to što se ti brojevi mobilnih telefona mogu pojaviti i u rezultatima Google pretrage, jer pretraživači indeksiraju metapodate klika. Telefonski brojevi se otkrivaju kao deo URL-a (https://wa.me/<telefonski_broj>), i to u stvari “propušta” brojeve mobilnih telefona korisnika WhatsAppa u tekstualnom obliku.

Domen “wa.me” je u vlasništvu WhatsAppa.

„Vaš mobilni broj je vidljiv u običnom tekstu u ovom URL-u i svako ko dođe do tog URL-a može saznati vaš broj mobilnog“, rekao je Džajaram.

On tvrdi da to spamerima olakšava da dođu do telefonskih brojeva koji su im potrebni za kampanje. Džajaram je rekao da je otkrio da je Google indeksirao 300000 telefonskih brojeva korisnika WhatsApp.

Džajaram tvrdi da zbog toga Click to Chat jeste bezbednosni problem koji bi mogao dovesti do zloupotreba i prevara.

Procurele telefonske brojeve napadači mogu koristiti za slanje poruka korisnicima, koje takođe mogu pozivati, prodavati njihove brojeve telefona trgovcima, spamerima i prevarantima.

Budući da WhatsApp identifikuje korisnike prema telefonskim brojevima, Google pretraga je otkrila samo telefonske brojeve, ali ne i identitete korisnika sa kojima su povezani, objasnio je Džajaram. Međutim, on je rekao da je takođe mogao da vidi slike profila korisnika na WhatsAppu zajedno sa njihovim brojevima telefona, samo klikom na URL-ove telefonskog broja Google pretrage, što ga je dovelo do WhatsApp profila. Haker bi mogao da pretražuje sliku profila korisnika kako bi na društvenim mrežama prikupio dovoljno podataka za utvrđivanje identiteta korisnika i otkrio mnogo više o njemu. Većina korisnika koristi istu sliku profila na različitim nalozima na društvenim mrežama. Sve ovo može biti dobra polazna tačka za krađu identiteta.

Sa svoje strane, WhatsApp opisuje Click to Chat kao funkciju koja omogućava korisnicima da započnu čet sa nekim čiji telefonski broj nije sačuvan u adresaru telefona i da Click to Chat firme koriste za povezivanje sa svojim kupcima.

Džajaram kaže da mnogi korisnici Click to Chat opcije nisu svesni da se njihovi telefonski brojevi čuvaju u tekstualnom obliku, da ih Google indeksa i da se mogu otkriti preko relativno jednostavnog upita za pretragu. Mnogi od onih kojima je ukazao na ovaj problem bili su zabrinuti zbog toga što su njihovi telefonski brojevi dostupni na internetu.

Nakon što je 23. maja otkrio ovaj problem, Džajaram je kontaktirao Facebook u vezi sa tim preko Facebookovog programa za bagove. Međutim, Facebook mu je odgovorio da program pokriva zloupotrebu podataka samo za Facebook, a ne i za WhatsApp. Portparol WhatsAppa je, međutim, rekao da je WhatsApp deo ovog programa.

“Iako cenimo izveštaj ovog istraživača i vreme koje je odvojio da ga podeli sa nama, ne smatramo da je to problem jer sadrži indeks pretraživača URL-ova koje su korisnici WhatsAppa izabrali da učine javnim. Svi korisnici, uključujući kompanije, mogu da blokiraju neželjene poruke jednim pritiskom na dugme”, rekli su iz kompanije.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Korisnici iPhonea mete napada upitima za resetovanje lozinke

Sofisticirana phishing kampanja koja cilja korisnike iPhonea poslednjih meseci ukazala je na slabost u Appleovom mehanizmu za resetovanje lozinke. Pre... Dalje

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka upozorava na pokušaje prevare na društvenim mrežama

Mobi Banka je upozorila korisnike da su se na društvenim mrežama pojavili lažni profili koji koriste ime i logo Mobi Banke i pozivaju korisnike da,... Dalje

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Googleova AI pretraga preporučuje korisnicima opasne sajtove i prevare

Ranije ovog meseca, Google je počeo da uvodi novu funkciju pod nazivom Google Search Generative Experience (SGE) u rezultate pretrage, koja pruža br... Dalje

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Lažne ponude popularnog leka Ozempic preplavile internet, stručnjaci upozoravaju na fišing prevare

Stručnjaci kompanije Kaspersky upozorili su na alarmantan trend pojave fišing stranica koje se predstavljaju kao sajtovi legitimnih prodavaca koji n... Dalje

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Uvedene sankcije protiv tri berze kriptovaluta zbog pomoći Rusiji

Kancelarija za kontrolu strane imovine američkog Ministarstva finansija (OFAC) sankcionisala je tri berze kriptovaluta zbog nuđenja usluga koje se k... Dalje