Цивилизация
В то время как мессенджер WhatsApp подвергается критике за обновление своей политики безопасности и передачу данных в пользу Facebook, в нем была обнаружена очередная уязвимость.
Номера телефонов и сообщения пользователей веб-версии WhatsApp можно обнаружить в поисковой выдаче Google, сообщает индийский исследователь информационной безопасности Раджшекхар Раджахария.
«Утечка происходит через десктопную версию WhatsApp. Если кто-то использует WhatsApp на ноутбуке или ПК, его мобильный телефон индексируется в поиске Google. Сливаются не бизнес-аккаунты, а номера обычных пользователей», — пояснил исследователь порталу IOL.
This time, @WhatsApp is actually using a "Robots.txt" file and a "disallow all" setting, so they are instructing @Google not to index anything. Google is still Indexing.#InfoSec
— Rajshekhar Rajaharia (@rajaharia) January 15, 2021
Раджахария отметил, что сталкивается с индексацией телефонных номеров пользователей веб-версии уже в третий раз. Ранее он указал на уязвимость администрации WhatsApp, сообщив о том, что в поиске Google можно найти ссылки на аккаунты пользователей и приглашения в групповые чаты. Руководство сервиса удалило ссылки, о которых говорил исследователь, а также добавило тег «noindex» ко всем диплинкам [ссылкам, ведущим в мобильное приложение], чтобы избежать индексации в Google.
«Мы отправили сообщение в Google, чтобы эти чаты не индексировались. Ссылки, которыми люди делятся в частном порядке с теми, кому они доверяют, не должны попадать на сайты общего доступа», — заявил представитель компании.
Раджшекхар Раджахария заявил о том, что WhatsApp также начал использовал файл «Robots.txt» и функцию «disallow all», чтобы предотвратить попадание персональных данных своих пользователей в Google, но эти две меры конфликтуют между собой, поэтому на момент написания заметки индексация все еще происходит.
Ранее о том, что телефоны пользователей WhatsApp можно обнаружить в Google, сообщил другой индийский ИБ-исследователь Атул Джаярам. В июне 2020 года Джаярам сообщил о том, что уязвимость кроется в функции «Click to Chat», которая позволяет начать диалог с пользователем WhatsApp, просканировав QR-код. Каждому аккаунту присваивается уникальный код, который в расшифрованном виде представляет собой ссылку формата https://wa.me/. В конце этой ссылки находится телефонный номер пользователя, который никак не прячется и не шифруется.
По словам Джаярама, на тот момент он нашел в выдаче Google около 300 тыс. телефонных номеров из WhatsApp.
До Джараяма в феврале прошлого года об индексации личных данных пользователей WhatsApp в поисковой выдаче сообщила ИБ-исследовательница Джейн Манчун Вонг. Тогда она нашла в Google ссылки, ведущие на тысячи приватных чатов. Перейдя по ссылкам, которые находились в открытом доступе, пользователь мог присоединиться к любой беседе. Как заявила Вонг, по запросу chat.whatsapp.com можно было обнаружить почти полмиллиона результатов, среди которых подавляющее большинство является диплинками на секретные чаты.
Ранее стало известно, что администрация WhatsApp приняла решение отложить внедрение новых правил пользования мессенджером, отказ от принятия которых грозит юзерам блокировкой их аккаунта. Как заявило руководство сервиса, обновление пользовательского соглашения вызвало «обеспокоенность», а также породило множество слухов и мифов, на развенчание которых WhatsApp потребуется дополнительное время.
