WhatsApp è di nuovo al centro delle notizie degli ultimi giorni. Questa volta ci troviamo di fronte a un problema di privacy: migliaia di numeri di telefono ottenibili e contattabili tramite una banale ricerca su Google.
Il bug, scoperto e reso noto lo scorso 23 Maggio, è stato risolto dall’azienda, che però non sembra essere troppo scossa dall’avvenimento: la ricerca renderebbe pubblico solo ciò che gli utenti hanno scelto come tale.
A scoprire la nuova falla di sicurezza di WhatsApp è stato Athul Jayaram, un bug-hunter e ricercatore. La causa del problema è la funzionalità “Click to chat” (Clicca per chattare), e in particolare lo short-link utilizzato per realizzarla. Questo servizio permette di iniziare una conversazione con un utente WhatsApp senza doverne salvare il numero in rubrica: lo short-link apre direttamente la chat con quell’account. Per creare un link è sufficiente utilizzare https://wa.me/<number>, dove <number> rappresenta il numero di telefono in formato internazionale.
Il problema sta nel fatto che questi link vengono indicizzati su Google. Un utente che abbia condiviso il contatto in siti in cui Google indicizza i contenuti, vedrà indicizzato anche il suo short-link, comunicato in chiaro. La funzionalità click to chat viene usata nei siti web in cui è possibile contattare direttamente il fornitore di un servizio. Si parla di prenotazioni nei ristoranti o di visite e appuntamenti effettuabili velocemente, mettendosi subito in contatto con il numero fornito.
Gli account che iniziano la conversazione finiscono online e indicizzati. Una ghiotta occasione per i black hat hacker, che possono raccogliere i numeri di telefono e venderli a spammer e scammer. Il problema, dice Jayaram, sta nel fatto che WhatsApp non ha indicato a Google (e in generale a tutti i motori di ricerca) di ignorare questi link durante l’indicizzazione.
“Il numero di cellulare è visibile in chiaro nell’url, e chiunque ne sia in possesso conosce il tuo numero di telefono” – Athul Jayaram
Il ricercatore ha affermato di essere riuscito a individuare 300.000 numeri di telefono indicizzati da Google, utilizzando una particolare stringa per il dominio https://wa.me. Sebbene la ricerca riveli soltanto il numero e non l’identità dietro l’account, Jayaram ha rivelato che è anche riuscito a visualizzare la foto profilo dei contatti trovati. Per un hacker non sarebbe difficile, tramite reverse-engineering, risalire all’identità dell’account a partire dalla foto (cercando ad esempio sui social).
Nella giornata del 9 Giugno, circa due settimane dopo la scoperta del “bug”, WhatsApp ha provveduto a risolvere il problema. Attualmente non è più possibile trovare i numeri su Google, ma fino a qualche giorno fa era possibile ottenere una lista di tutti i contatti pubblici. Non era infatti difficile visualizzare i numeri di 300.000 utenti e usare lo short link per iniziare una chat diretta con ognuno di loro.
In merito alla segnalazione di Jayaram, WhatsApp non sembra avere dubbi: il bug non è un bug, tantomeno una falla di sicurezza. Un portavoce dell’azienda ha infatti affermato:
“È semplicemente un indice del motore di ricerca di URL che gli utenti di WhatsApp hanno scelto di rendere pubblico. Tutti gli utenti possono bloccare i messaggi indesiderati con un click.”
Per questa ragione, secondo l’azienda, la scoperta del ricercatore non sarebbe meritevole di un premio previsto dal programma bug-bounty.
“Anche se apprezziamo l’impegno di Jayaram, non possiamo considerare la sua segnalazione come un bug.”