O Google está indexando os números de telefone usados no WhatsApp, e um pesquisador está preocupado com a possibilidade de causar problemas de privacidade ou ser usado para fins maliciosos.
No início deste ano, falei como os links de convite para grupos privados de aplicativos de mensagens como WhatsApp e Telegram estavam visíveis no Google, permitindo que qualquer pessoa participasse dos grupos.
Nesta semana, o pesquisador de segurança Athul Jayaram destacou um problema com o domínio “wa.me” do WhatsApp “vazando” os números de telefone de contato no Google.
Google está indexando os números de telefone usados no WhatsApp e isso levanta preocupações com a privacidade
O domínio ‘wa.me’ pertence ao WhatsApp e é usado para hospedar links ‘clique para conversar‘ que “permitem iniciar uma conversa com alguém sem ter o número de telefone salvo no catálogo de endereços do telefone”.
Conforme declarado por Jayaram e confirmado pelo BleepingComputer, não há arquivo “robots.txt” nos domínios “wa.me” ou “api.whatsapp.com” que instrui os mecanismos de pesquisa a não rastrear números de telefone no site.
Como resultado, os links que começam com “https://wa.me/” são indexados pelo Google e por outros mecanismos de pesquisa e aparecem nos resultados da pesquisa.
“À medida que os números de telefone individuais vazam, um invasor pode enviá-los por mensagem, ligar para eles, vender seus números para profissionais de marketing, spammers, golpistas”, disse Jayaram ao Threatpost, que contou a história.
Quando clicados, esses links são redirecionados para uma página “api.whatsapp.com”, permitindo ao usuário “continuar o bate-papo” com o usuário do WhatsApp.
Embora isso possa ser um possível problema de privacidade, especialmente se os spammers conseguirem indexar números legítimos do WhatsApp indexados pelo Google e enviar mensagens de texto diretamente no WhatsApp, isso não é necessariamente um bug.
Como teste, criei o link http://wa.me/11111 falso usando um número de telefone falso.
Como você pode ver abaixo, isso me redirecionou para o link api.whatsapp.com/send?phone=11111, como mostrado abaixo. Esse link mostrava a mesma página de destino, dando a impressão de que o número era um contato válido do WhatsApp, mesmo quando não era.
Isso significa que os remetentes de spam não podem simplesmente explorar esse recurso para “enumerar” números legítimos do WhatsApp.
Talvez seja por essa razão que o Facebook tenha rejeitado o relatório de recompensas de bugs apresentado por Jayaram sobre o assunto:
Ao Threatpost, Jayaram disse que:
“Apesar de apreciarmos o relatório deste pesquisador e valorizarmos o tempo que ele levou para compartilhá-lo conosco, ele não se qualificou para receber uma recompensa, uma vez que apenas continha um índice de URLs que os usuários do WhatsApp optaram por tornar público. Todos os usuários do WhatsApp, incluindo empresas, podem bloquear mensagens indesejadas com o toque de um botão.”
Além disso, vale a pena notar que diretórios inteiros de números de telefone legítimos, independentemente de terem uma conta do WhatsApp / Telegram, são publicados na web.
Essa prática existe há décadas, antes mesmo que os aplicativos de mensagens existissem e permitissem ao Google indexar os números.
Portanto, a publicação de um mero número de telefone na Web não se vincula automaticamente a informações ou senhas de identificação pessoal.
Jayaram ainda acredita que a indexação pública de números de telefone pode ser um risco à segurança ou à privacidade, pois muitos de nossos serviços on-line estão vinculados a nossos números de telefone.
O pesquisador recomenda que o WhatsApp use um arquivo robots.txt em seus domínios, impedindo o Google de rastrear esses resultados e também para criptografar os números de celular dos usuários.
“Infelizmente eles ainda não fizeram isso, e sua privacidade pode estar em risco”, disse ele. “Hoje, seu número de celular está vinculado a suas carteiras Bitcoin, Adhaar, contas bancárias, UPI, cartões de crédito … [permitindo] que um invasor realize ataques de troca e clonagem de cartão SIM sabendo que seu número de celular é outra possibilidade”
Não está totalmente claro o que se entende por “criptografar” números móveis nesse contexto, mas pode ser para ofuscar os números com sequências aleatórias.
Infelizmente, no momento, o WhatsApp não fornece uma maneira de tornar seu número de telefone privado.
Aqueles que estão preocupados com a indexação devem obter um número de telefone virtual do Google Voice ou outro serviço similar.
- Como instalar o jogo TuxPusher no Linux via Flatpak
- Como instalar o emulador de jogos de PS2 PCSX2 no Linux
- Como instalar o jogo Doom BFA no Linux via Flatpak
- Como instalar o jogo de quebra-cabeça System Syzygy no Linux via Snap