近日,一名研究人员发现,与WhatsApp账户相关的电话号码在谷歌搜索中可以被公开显示出来,他认为这对用户来说是“隐私问题”。
事件回顾
这位研究人员发现,WhatsApp的一项名为“点击聊天”的功能使用户的手机号码处于危险之中,因为它允许谷歌搜索对用户的手机号码进行索引,供任何人查找。但WhatsApp的所有者Facebook表示,这没什么大不了的,搜索结果只会显示用户选择公开的内容。
发现这一问题的赏金猎人阿苏尔•Jayaram(Athul Jayaram)称这些电话号码“被泄露”,并将这种情况描述为一个安全漏洞,该漏洞将WhatsApp用户的隐私置于危险之中。
“点击聊天”为网站提供了一种与网站访问者启动WhatsApp聊天会话的简单方法。它的工作原理是将快速响应(QR)代码图像(由第三方服务创建)与网站所有者的WhatsApp手机号码联系起来。访问者可以扫描该网站的二维码或点击URL来启动WhatsApp聊天会话,这意味着他们无需自己拨打该号码。然而,一旦呼叫开始,访问者仍然可以访问该电话号码。
Jayaram说,问题是这些手机号码也可以出现在谷歌搜索结果中,因为搜索引擎索引了“点击聊天”元数据。根据研究人员的观点,手机号码是作为URL字符串(https://wa.me/ < phone_number >)的一部分显示的,这实际上是以明文“泄露”WhatsApp用户的手机号码。
根据WHOIS记录,“wa.me”域由WhatsApp拥有和维护。
你的手机号码以纯文本的形式显示在该URL中,任何获得该URL的人都可以知道你的手机号码。你不能撤销它。
Jayaram认为,这使得垃圾邮件发送者更容易收集合法的电话号码来发起活动,使用域名https://wa.me/的特制搜索字符串,他发现Google索引了300000个WhatsApp电话号码。
Jayaram认为,正因为如此,点击聊天出现了一个可能导致滥用和欺诈的重要安全问题。
他说:“当个人电话号码被泄露时,攻击者可以给他们发信息,给他们打电话,把他们的电话号码卖给营销人员、垃圾邮件制造者和骗子。”
Jayaram解释说,由于WhatsApp通过电话号码(而不是用户名或电子邮件ID)来识别用户,因此Google搜索只会显示电话号码,而不显示所连接用户的身份。但是,研究人员说,他还可以通过单击Google Search电话号码URL来查看用户在WhatsApp上的个人资料图片以及他们的电话号码,从而将他带到他们的WhatsApp个人资料中。接下来,黑客可以逆向搜索用户的个人资料图片,希望收集足够的线索来确定用户的身份。
Jayaram告诉网站Threatpost:“通过WhatsApp的个人资料,用户可以看到用户的个人资料照片,并通过进行反向图片搜索来找到他们的其他社交媒体账户,从而发现更多有关个人的信息。”
Jayaram表示,将电话号码与姓名和地址相匹配可能是身份盗窃的一个强有力的起点。大多数用户的确在其他社交媒体帐户上使用相同的个人资料图片,也可以轻松找到用户资料。
就WhatsApp而言,它将“点击聊天”描述为一项便利功能,它使用户可以与某人开始聊天,而无需将其电话号码保存在其电话簿中。
WhatsApp的一名发言人告诉网站Threatpost:“我们的‘点击聊天’功能允许用户用自己的电话号码创建URL地址,以便任何人都可以轻松地向他们发送消息。该功能已被世界各地的小型和微型企业广泛使用,以与客户建立联系。
是特定功能还是漏洞?
研究人员认为,许多“点击聊天”用户并不知道他们的电话号码是以明文形式存储的,并由Google搜索索引,并且可以通过相对简单的搜索查询发现。
Jayaram告诉网站Threatpost,他与之联系过的用户表示担心他们的电话号码可以在线使用,并被Google搜索索引。
Threatpost还联系了数位WhatsApp用户,这些用户的数字已被Google搜索索引(有些人知道他们的数字是公开的),并通过这种方式在网上推广自己的业务或个人联系方式。
一名用户告诉网站Threatpost,我的电话号码在网上公开了,并解释说,点击聊天很方便,让他的网站访问者变得更容易。我这样做是为了使人们可以轻松地与我联系,令人惊讶的是,我收到的垃圾邮件很少。
然而,其他人并不知道他们的电话号码已经被公开。
一位用户告诉Threatpost:“不,我根本没有打算公开我的手机号码。我为自己的业务设立了WhatsApp,这样人们就可以直接发短信,而不必得到我的电话号码。”
Jayaram说,在5月23日发现这个问题后,他通过漏洞奖励计划联系了WhatsApp的所有者Facebook。然而,Facebook回应称,数据滥用的管理规定仅适用于Facebook平台,而不适用于WhatsApp。另一方面,WhatsApp的发言人告诉Threatpost, WhatsApp是数据滥用赏金计划的一部分。
虽然我们赞赏这位研究人员的报告,并珍惜他与我们分享报告所花费的时间,但由于它仅包含WhatsApp用户选择公开的URL的搜索引擎索引,因此没有资格获得悬赏。所有WhatsApp用户(包括企业)都可以通过单击按钮阻止不需要的消息。
谷歌搜索索引也是今年早些时候发现的WhatsApp故障的核心,此前DW News的一名记者发现,谷歌的搜索引擎将WhatsApp组的邀请链接编入了索引。这意味着,如果互联网上任何地方都存在与私人团体的链接,那么任何人都可能找到它们,并通过谷歌快速搜索加入WhatsApp群组。这意味着,成千上万的群组都可以通过这种方式被访问到。
当时,Google搜索的公共联络员丹尼·沙利文(Danny Sullivan)在Twitter上表示,这种情况“与网站允许url被公开列出的情况没有区别”,但他表示,谷歌确实提供工具,允许网站屏蔽被列出的内容。
Google等搜索引擎会列出开放网络中的页面,这和任何允许url公开列出的网站没有什么不同。我们确实提供了一些工具,使网站可以阻止在我们的结果中列出的内容:https://t.co/D1YIt228E3。
谷歌发言人告诉Threatpost,就谷歌搜索而言,沙利文所说的仍然是正确的。根据Google的说法,它和其他搜索引擎会对开放式网络上可用的页面进行索引。 Google无法从网上删除网址(只有网站管理员可以这样做),因此即使从Google的搜索结果中删除了某些内容,它也仍然可以出现在其他搜索引擎的搜索结果中。
Jayaram建议WhatsApp对用户的手机号码进行加密,并添加robots.txt文件,以禁止搜索引擎抓取用户的域名。