Функция мессенджера Click to Chat «отправляет» номера телефонов в поисковую систему.

Исследователь безопасности Атхул Джаярам (Athul Jayaram) предупредил об угрозе, представляемой функцией мессенджера WhatsApp под названием Click to Chat. По его словам, функция позволяет Google индексировать номера телефонов пользователей, и их потом можно легко найти с помощью поисковой системы.

Click to Chat позволяет сайтам быстро инициировать беседу в WhatsApp со своими посетителями. Функция работает путем присвоения QR-кода номеру телефона владельца ресурса. Посетителю сайта достаточно лишь просканировать QR-код или кликнуть на URL-адрес, и начнется диалог в WhatsApp. Вводить номер телефона при этом не требуется, однако, когда начинается беседа, у пользователя все равно есть к нему доступ.

По словам Джаярама, проблема заключается в том, что эти номера затем попадают в Google, поскольку поисковая система индексирует метаданные Click to Chat. Номер телефона входит в строку URL (https://wa.me/), что приводит к его «утечке», считает исследователь. Благодаря этому спамеры могут легко создавать базы данных действительных номеров и использовать их в своих кампаниях. Сам исследователь обнаружил порядка 300 тыс. проиндексированных Google телефонных номеров.

Хотя номера телефонов не привязываются к именам их владельцев, злоумышленники все равно могут узнать, кому они принадлежат. Если нажать на URL-адрес с номером телефона в поисковой выдаче Google, откроется профиль пользователя вместе с фотографией. Злоумышленник может воспользоваться поиском по картинке и собрать достаточно данных о потенциальной жертве.

Исследователь сообщил WhatsApp о своем открытии, однако компания отказалась считать его уязвимостью, поскольку пользователи сами предпочли сделать свои номера телефонов публичными.

Источник: securitylab