Google对WhatsApp进行编号索引引发隐私问题

发布时间:2020-06-09 10:09:00

  谷歌正在对WhatsApp上使用的电话号码进行索引,一位研究人员担心这可能会导致隐私问题或被用于恶意目的。

  今年早些时候,Bleeping Computer报道了如何在谷歌上看到与WhatsApp和Telegram等私人短信应用群组的邀请链接,从而允许任何人加入这些群组。



  本周,安全研究员AthulJayaram强调了WhatsApp的一个问题瓦米“域名”泄露了谷歌的联系电话号码。

  '瓦米'domain归WhatsApp所有,用于主持'点击聊天'链接,该链接“允许您开始与某人聊天,而不必将其电话号码保存在手机的通讯簿中。

  如Jayaram所述并经Bleeping计算机确认,没有robots.txt文件“文件打开”瓦米“或”api.whatsapp.com网站“指示搜索引擎不要在网站上抓取电话号码的域。

  因此,开始于https://wa.me网址/“被谷歌和其他搜索引擎索引并出现在搜索结果中。

  “由于个别电话号码被泄露,攻击者可以给他们发信息,打电话,把他们的电话号码卖给营销人员、垃圾邮件发送者、骗子,”Jayaram告诉Threatpost,Threatpost透露了这一消息。

  单击时,这些链接重定向到“api.whatsapp.com网站允许用户与WhatsApp用户“继续聊天”的页面。

  虽然这可能是一个潜在的隐私问题,特别是如果垃圾邮件发送者可以得到合法的WhatsApp号码被谷歌索引,并直接在WhatsApp上给你发短信,这不一定是个bug。

  作为测试,我创造了假http://wa.me/11111使用假电话号码链接。

  如下所示,这将我重定向到api.whatsapp.com/发送?电话=11111链接,如下所示。这个链接显示的是同一个登录页,给人的印象就像这个号码是一个有效的WhatsApp联系人,即使不是。



  假WhatsApp点击聊天链接这意味着垃圾邮件发送者不能简单地利用这一功能“列举”合法的WhatsApp号码。

  或许正是因为这个原因,Facebook拒绝了贾亚拉姆就这个问题提交的bug悬赏报告:

  “虽然我们很欣赏这位研究员的报告,也很重视他与我们分享这份报告所花的时间,但它并不符合获得奖金的条件,因为它仅仅包含了一个搜索引擎的网址索引,WhatsApp用户选择将其公开。所有WhatsApp用户,包括企业用户,都可以通过点击一个按钮来屏蔽不需要的信息。

  此外,值得注意的是,合法电话号码的整个目录,无论它们是否有WhatsApp/Telegram帐户,都发布在网络上。

  这种做法已经持续了几十年之久,直到消息应用程序出现并允许谷歌对这些数字进行索引。

  因此,仅仅在网上发布一个电话号码不会自动链接到个人可识别信息或密码。

  Jayaram仍然认为,公开索引电话号码可能会带来安全风险或隐私风险,因为我们的许多在线服务都与我们的电话号码有关。

  研究人员建议WhatsApp使用robots.txt文件文件在他们的域中,防止谷歌抓取这些结果,并加密用户的手机号码。

  “不幸的是他们还没有这么做,你的隐私可能会受到威胁,”他说。贾亚拉姆说:“今天,你的手机号码与你的比特币钱包、Adhaar、银行账户、UPI、信用卡相连接……[允许]攻击者通过知道你的手机号码来执行SIM卡交换和克隆攻击。”。

  目前还不完全清楚在这种情况下“加密”手机号码是什么意思,但可能是用随机字符串混淆号码,比如这个一点点网址https://bit.ly/2Mxb5Hp,它将重定向到Bleeping计算机。

  不幸的是,在这个时候,WhatsApp并没有提供让你的电话号码私有化的方法。

  那些担心它被编入索引的人应该从Google Voice或其他类似服务获得一个虚拟电话号码。

  【参考来源:bleepingcomputer】

最新发布
1
相约乌镇·共话安全丨天威诚信将亮相2021年世界互联网大会“互联网之光”博览会
2
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
3
惊!91%的工业企业容易遭受网络攻击
4
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
5
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
6
《中华人民共和国个人信息保护法》审议通过
7
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
8
规范“人脸识别”,为盗刷者戴上“紧箍咒”
9
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
10
《网络安全审查办法(修订草案征求意见稿)》解读
相关推荐
划重点!《人民法院在线诉讼规则》正在施行中
规范“人脸识别”,为盗刷者戴上“紧箍咒”
“滴滴事件”敲响个人信息安全警钟
企业数字化转型,数据安全是关键!
《网络安全审查办法(修订草案征求意见稿)》解读
由于证书过期,Pulse Secure VPN用户无法登录
加州大学遭勒索软件攻击,隐私数据大规模泄漏
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
来啦!沪上首份《电子劳动合同操作指引》抢先出炉