Funkce Click to Chat ve WhatsAppu prozrazuje nejen Googlu telefonní čísla
9.6.2020, Milan Šurkala, aktualita
Aplikace WhatsApp má problém se soukromím některých uživatelů. Její funkce Click to Chat totiž zveřejňuje telefonní čísla lidí, která se navíc ukazují ve vyhledávání v Googlu. A to se mnohým uživatelům moc nelíbí.
Aplikace WhatsApp nabízí funkci Click to Chat, která dovoluje pomocí QR kódu snadné zavolání dané osobě bez toho, aniž byste ji museli přímo dávat své telefonní číslo. Volající jen naskenuje kód a nemusí tak číslo ani zadávat. Jak ale ukázal Athul Jayaram, který hledá chyby v aplikacích (tzv. bug hunter) pro zisk odměn za jejich nalezení (bug bounty), telefonní číslo není vůbec těžké zjistit. To se totiž objeví v URL adrese v nezašifrované podobě https://wa.me/telefonni_cislo. Jayaram vidí problém i v tom, že díky volně přístupnému telefonnímu číslu v URL adrese je např. Google schopen přiřadit toto číslo k některým údajům na WhatsAppu, jako je např. profilová fotografie.
Nejde ale jen o záležitost Googlu. Výsledky se mohou zobrazit v jakémkoli internetovém vyhledávači, neboť jde o veřejně přístupnou URL. Dle Jayarama toto nahrává hackerům při krádežích identity, neboť díky reverznímu vyhledávání obrázků mohou k nalezeným fotografiím připojit jména z jiných zdrojů, nyní to doplnit i o telefonní číslo a pokusit se např. o typický útok "SIM card swapping" a jiné. Takové útoky spočívají např. v tom, že se útočník pokusí od operátora vylákat náhradní SIM kartu třeba pod záminkou, že ta první přestala fungovat. Stačí pak selhání jednoho člověka na podpoře, který neprovede dostatečná bezpečnostní opatření (což díky zjištění informací o napadaném z internetu a jeho sociálních sítí nemusí být tak složité), vydá náhradní SIM kartu útočníkovi a nikoli právoplatnému majiteli. Ten pak snadno obejde i jinak velmi bezpečnou dvoufaktorovou autentizaci, neboť ověřovací SMS přijdou útočníkovi.
Jayaram kontaktoval Facebook (ten vlastní WhatsApp) a zažádal o odměnu. Ten jej však odmítl s tím, že jeho bug bounty program se týká jen Facebooku a ne WhatsAppu. Mluvčí WhatsAppu je ale jiného názoru a ten tvrdí, že WhatsApp je součástí programu a Facebook nemluví pravdu. Říká však, že nejde o chybu WhatsAppu a jde o "problém" Googlu a jiných vyhledávačů, které indexují URL od WhatsAppu. Dle jeho názoru se uživatelé sami dobrovolně rozhodli zveřejnit své telefonní číslo využitím této funkce (tedy v podstatě řekl, že vůbec nejde o chybu). Nicméně se zdá, že o tom spousta uživatelů neví a nesouhlasí s tím. Celkem to má postihnout zhruba 290 až 300 tisíc uživatelů.
Zdroj: threatpost.com, indianexpress.com
