fbpx

SEGUICI SU:

DELLO STESSO AUTORE

INSTAGRAM

CORRELATI

WhatsApp: 300.000 numeri in chiaro su Google

Bug o non bug? Quel che è certo è che migliaia di numeri di telefono di utenti WhatsApp sono visibili su Google!

WhatsApp è di nuovo al centro delle notizie degli ultimi giorni. Questa volta ci troviamo di fronte a un problema di privacy: migliaia di numeri di telefono ottenibili e contattabili tramite una banale ricerca su Google.

Il bug, scoperto e reso noto lo scorso 23 Maggio, è stato risolto dall’azienda, che però non sembra essere troppo scossa dall’avvenimento: la ricerca renderebbe pubblico solo ciò che gli utenti hanno scelto come tale.

WhatsApp: 300.000 numeri pubblici su Google

A scoprire la nuova falla di sicurezza di WhatsApp è stato Athul Jayaram, un bug-hunter e ricercatore. La causa del problema è la funzionalità “Click to chat” (Clicca per chattare), e in particolare lo short-link utilizzato per realizzarla. Questo servizio permette di iniziare una conversazione con un utente WhatsApp senza doverne salvare il numero in rubrica: lo short-link apre direttamente la chat con quell’account. Per creare un link è sufficiente utilizzare https://wa.me/<number>, dove <number> rappresenta il numero di telefono in formato internazionale.

Generazione e condivisione dello short-link di WhatsApp, legato al proprio numero. Credits: mobileworld

Il problema sta nel fatto che questi link vengono indicizzati su Google. Un utente che abbia condiviso il contatto in siti in cui Google indicizza i contenuti, vedrà indicizzato anche il suo short-link, comunicato in chiaro. La funzionalità click to chat viene usata nei siti web in cui è possibile contattare direttamente il fornitore di un servizio. Si parla di prenotazioni nei ristoranti o di visite e appuntamenti effettuabili velocemente, mettendosi subito in contatto con il numero fornito.

Gli account che iniziano la conversazione finiscono online e indicizzati. Una ghiotta occasione per i black hat hacker, che possono raccogliere i numeri di telefono e venderli a spammer e scammer. Il problema, dice Jayaram, sta nel fatto che WhatsApp non ha indicato a Google (e in generale a tutti i motori di ricerca) di ignorare questi link durante l’indicizzazione.

“Il numero di cellulare è visibile in chiaro nell’url, e chiunque ne sia in possesso conosce il tuo numero di telefono” – Athul Jayaram

I numeri degli account WhatsApp visibili in chiaro sul web. Credits: android central
I numeri degli account WhatsApp visibili in chiaro sul web. Credits: android central

Il ricercatore ha affermato di essere riuscito a individuare 300.000 numeri di telefono indicizzati da Google, utilizzando una particolare stringa per il dominio https://wa.me. Sebbene la ricerca riveli soltanto il numero e non l’identità dietro l’account, Jayaram ha rivelato che è anche riuscito a visualizzare la foto profilo dei contatti trovati. Per un hacker non sarebbe difficile, tramite reverse-engineering, risalire all’identità dell’account a partire dalla foto (cercando ad esempio sui social).

Bug o non bug?

Nella giornata del 9 Giugno, circa due settimane dopo la scoperta del “bug”, WhatsApp ha provveduto a risolvere il problema. Attualmente non è più possibile trovare i numeri su Google, ma fino a qualche giorno fa era possibile ottenere una lista di tutti i contatti pubblici. Non era infatti difficile visualizzare i numeri di 300.000 utenti e usare lo short link per iniziare una chat diretta con ognuno di loro.

In merito alla segnalazione di Jayaram, WhatsApp non sembra avere dubbi: il bug non è un bug, tantomeno una falla di sicurezza. Un portavoce dell’azienda ha infatti affermato:

“È semplicemente un indice del motore di ricerca di URL che gli utenti di WhatsApp hanno scelto di rendere pubblico. Tutti gli utenti possono bloccare i messaggi indesiderati con un click.”

Per questa ragione, secondo l’azienda, la scoperta del ricercatore non sarebbe meritevole di un premio previsto dal programma bug-bounty.

“Anche se apprezziamo l’impegno di Jayaram, non possiamo considerare la sua segnalazione come un bug.”

CUE FACT CHECKING

Grazie per essere arrivato fin qui

Per garantire lo standard di informazione che amiamo abbiamo dato la possibilità ai nostri lettori di sostenerci, dando la possibilità di:
- leggere tutti gli articoli del network (10 siti) SENZA banner pubblicitari
- proporre ai nostri team le TEMATICHE da analizzare negli articoli

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here

Marina Londei
Laureata in Ingegneria e Scienze Informatiche, unisco la passione per la scrittura al mio lavoro.