Un nuovo bug per la piattaforma di messaggistica WhatsApp. Il ricercatore e informatico Athul Jayaram ha infatti scoperto che su Google sono reperibili più di 300 mila numeri di telefono di utenti. Secondo l’esperto, il problema risiede nel fatto che i contatti possono anche apparire proprio nei risultati di ricerca di Google.
A researcher found that phone numbers tied to #WhatsApp accounts are indexed publicly on #Google Search creating what he claims is a “privacy issue” for users.https://t.co/soVRo9s64R
— Threatpost (@threatpost) June 6, 2020
L’origine del problema: il servizio Click to Chat
All’origine della falla, c’è la funzione di WhatsApp, Click to Chat. Si tratta di una modalità utilizzata frequentemente a livello commerciale, per connettere clienti e venditori, in particolare nell’e-commerce. Attraverso un QR Code o l’icona di WhatsApp presente sul sito aziendale e ai quali è associato un relativo numero di telefono, l’acquirente interessato può contattare il commerciante. Nel momento in cui l’utente usufruisce del servizio, i numeri di telefono vengono associati ad un indirizzo URL (https://wa.me/numero di telefono) e indicizzati da Google.
«Il tuo numero di cellulare è visibile in chiaro in questo URL e chiunque sia in possesso dell’URL può conoscere il tuo numero di cellulare. Non puoi revocarlo», ha spiegato Jayaram. Il tecnico ha anche sottolineato di aver individuato l’indicizzazione di 300 mila numeri associati al link, che avrebbero usato la funzione Click to Chat. Il problema interessa soprattutto i contatti tradizionali e non quelli aziendali, le cui informazioni sarebbero in ogni caso facilmente reperibili sui relativi siti Internet.
I principali rischi riguardano la possibilità, una volta acquisite le informazioni, di inviare mail spam e i tentativi di phishing. «Dal momento in cui i numeri di telefono sono trapelate, un utente malintenzionato può inviare messaggi, chiamarli, vendere i loro numeri di telefono agli esperti di marketing, a spammer e truffatori», ha sottolineato l’informatico.
Read my white paper released on June 9, 2020
"Why are Whatsapp Numbers leaked in a Google Search and users can't be blamed?" https://t.co/NST39wX8UK"Your Whatsapp number may be leaked in the open web, they don't care do you?"https://t.co/3fHET4QWYo#whatsapp #infosec
— Athul Jayaram (@athuljayaram) June 8, 2020
La replica di WhatsApp
«La nostra funzione Click to Chat, che permette agli utenti di creare un URL con il proprio numero di telefono, in modo che chiunque possa facilmente inviare loro messaggi, è largamente usata da piccole e micro imprese nel mondo per connettersi con i propri clienti». La risposta degli sviluppatori di WhatsApp non sembra dunque incentrata alla risoluzione immediata del problema.
La piattaforma ha poi specificato che non offrirà un compenso a Jayaram, bug hunter noto alle grandi aziende del tech per la sua attività di ricerca di falle nei sistemi informatici. «Sebbene abbiamo apprezzato il report e il tempo che il ricercatore ha impiegato per condividerlo con noi, non è stata tuttavia prevista una ricompensa perché il report contiene semplicemente un indice, ricavato da un motore di ricerca, degli URLs che gli utenti di WhatsApp hanno deciso di render pubblici. Tutti gli utenti di WhatsApp, incluse le aziende, hanno la possibilità di bloccare i messaggi indesiderati semplicemente con un tasto».