WhatsApp: 300.000 numeri in chiaro su Google

Generazione e condivisione dello short-link di WhatsApp, legato al proprio numero. Credits: mobileworld

Falla whatsapp

WhatsApp e la "falla" che rende pubblici i numeri di telefono. Credits: techradar

WhatsApp è di nuovo al centro delle notizie degli ultimi giorni. Questa volta ci troviamo di fronte a un problema di privacy: migliaia di numeri di telefono ottenibili e contattabili tramite una banale ricerca su Google.

Il bug, scoperto e reso noto lo scorso 23 Maggio, è stato risolto dall’azienda, che però non sembra essere troppo scossa dall’avvenimento: la ricerca renderebbe pubblico solo ciò che gli utenti hanno scelto come tale.

WhatsApp: 300.000 numeri pubblici su Google

A scoprire la nuova falla di sicurezza di WhatsApp è stato Athul Jayaram, un bug-hunter e ricercatore. La causa del problema è la funzionalità “Click to chat” (Clicca per chattare), e in particolare lo short-link utilizzato per realizzarla. Questo servizio permette di iniziare una conversazione con un utente WhatsApp senza doverne salvare il numero in rubrica: lo short-link apre direttamente la chat con quell’account. Per creare un link è sufficiente utilizzare https://wa.me/<number>, dove <number> rappresenta il numero di telefono in formato internazionale.

Generazione e condivisione dello short-link di WhatsApp, legato al proprio numero. Credits: mobileworld

Il problema sta nel fatto che questi link vengono indicizzati su Google. Un utente che abbia condiviso il contatto in siti in cui Google indicizza i contenuti, vedrà indicizzato anche il suo short-link, comunicato in chiaro. La funzionalità click to chat viene usata nei siti web in cui è possibile contattare direttamente il fornitore di un servizio. Si parla di prenotazioni nei ristoranti o di visite e appuntamenti effettuabili velocemente, mettendosi subito in contatto con il numero fornito.

Gli account che iniziano la conversazione finiscono online e indicizzati. Una ghiotta occasione per i black hat hacker, che possono raccogliere i numeri di telefono e venderli a spammer e scammer. Il problema, dice Jayaram, sta nel fatto che WhatsApp non ha indicato a Google (e in generale a tutti i motori di ricerca) di ignorare questi link durante l’indicizzazione.

“Il numero di cellulare è visibile in chiaro nell’url, e chiunque ne sia in possesso conosce il tuo numero di telefono” – Athul Jayaram

I numeri degli account WhatsApp visibili in chiaro sul web. Credits: android central
I numeri degli account WhatsApp visibili in chiaro sul web. Credits: android central

Il ricercatore ha affermato di essere riuscito a individuare 300.000 numeri di telefono indicizzati da Google, utilizzando una particolare stringa per il dominio https://wa.me. Sebbene la ricerca riveli soltanto il numero e non l’identità dietro l’account, Jayaram ha rivelato che è anche riuscito a visualizzare la foto profilo dei contatti trovati. Per un hacker non sarebbe difficile, tramite reverse-engineering, risalire all’identità dell’account a partire dalla foto (cercando ad esempio sui social).

Bug o non bug?

Nella giornata del 9 Giugno, circa due settimane dopo la scoperta del “bug”, WhatsApp ha provveduto a risolvere il problema. Attualmente non è più possibile trovare i numeri su Google, ma fino a qualche giorno fa era possibile ottenere una lista di tutti i contatti pubblici. Non era infatti difficile visualizzare i numeri di 300.000 utenti e usare lo short link per iniziare una chat diretta con ognuno di loro.

In merito alla segnalazione di Jayaram, WhatsApp non sembra avere dubbi: il bug non è un bug, tantomeno una falla di sicurezza. Un portavoce dell’azienda ha infatti affermato:

“È semplicemente un indice del motore di ricerca di URL che gli utenti di WhatsApp hanno scelto di rendere pubblico. Tutti gli utenti possono bloccare i messaggi indesiderati con un click.”

Per questa ragione, secondo l’azienda, la scoperta del ricercatore non sarebbe meritevole di un premio previsto dal programma bug-bounty.

“Anche se apprezziamo l’impegno di Jayaram, non possiamo considerare la sua segnalazione come un bug.”