谷歌正在对WhatsApp上使用的电话号码进行索引,一位研究人员担心这可能会导致隐私问题或被用于恶意目的。
今年早些时候,Bleeping Computer报道了如何在谷歌上看到与WhatsApp和Telegram等私人短信应用群组的邀请链接,从而允许任何人加入这些群组。
本周,安全研究员AthulJayaram强调了WhatsApp的一个问题瓦米“域名”泄露了谷歌的联系电话号码。
'瓦米'domain归WhatsApp所有,用于主持'点击聊天'链接,该链接“允许您开始与某人聊天,而不必将其电话号码保存在手机的通讯簿中。
如Jayaram所述并经Bleeping计算机确认,没有robots.txt文件“文件打开”瓦米“或”api.whatsapp.com网站“指示搜索引擎不要在网站上抓取电话号码的域。
因此,开始于https://wa.me网址/“被谷歌和其他搜索引擎索引并出现在搜索结果中。
“由于个别电话号码被泄露,攻击者可以给他们发信息,打电话,把他们的电话号码卖给营销人员、垃圾邮件发送者、骗子,”Jayaram告诉Threatpost,Threatpost透露了这一消息。
单击时,这些链接重定向到“api.whatsapp.com网站允许用户与WhatsApp用户“继续聊天”的页面。
虽然这可能是一个潜在的隐私问题,特别是如果垃圾邮件发送者可以得到合法的WhatsApp号码被谷歌索引,并直接在WhatsApp上给你发短信,这不一定是个bug。
作为测试,我创造了假http://wa.me/11111使用假电话号码链接。
如下所示,这将我重定向到api.whatsapp.com/发送?电话=11111链接,如下所示。这个链接显示的是同一个登录页,给人的印象就像这个号码是一个有效的WhatsApp联系人,即使不是。
假WhatsApp点击聊天链接这意味着垃圾邮件发送者不能简单地利用这一功能“列举”合法的WhatsApp号码。
或许正是因为这个原因,Facebook拒绝了贾亚拉姆就这个问题提交的bug悬赏报告:
“虽然我们很欣赏这位研究员的报告,也很重视他与我们分享这份报告所花的时间,但它并不符合获得奖金的条件,因为它仅仅包含了一个搜索引擎的网址索引,WhatsApp用户选择将其公开。所有WhatsApp用户,包括企业用户,都可以通过点击一个按钮来屏蔽不需要的信息。
此外,值得注意的是,合法电话号码的整个目录,无论它们是否有WhatsApp/Telegram帐户,都发布在网络上。
这种做法已经持续了几十年之久,直到消息应用程序出现并允许谷歌对这些数字进行索引。
因此,仅仅在网上发布一个电话号码不会自动链接到个人可识别信息或密码。
Jayaram仍然认为,公开索引电话号码可能会带来安全风险或隐私风险,因为我们的许多在线服务都与我们的电话号码有关。
研究人员建议WhatsApp使用robots.txt文件文件在他们的域中,防止谷歌抓取这些结果,并加密用户的手机号码。
“不幸的是他们还没有这么做,你的隐私可能会受到威胁,”他说。贾亚拉姆说:“今天,你的手机号码与你的比特币钱包、Adhaar、银行账户、UPI、信用卡相连接……[允许]攻击者通过知道你的手机号码来执行SIM卡交换和克隆攻击。”。
目前还不完全清楚在这种情况下“加密”手机号码是什么意思,但可能是用随机字符串混淆号码,比如这个一点点网址https://bit.ly/2Mxb5Hp,它将重定向到Bleeping计算机。
不幸的是,在这个时候,WhatsApp并没有提供让你的电话号码私有化的方法。
那些担心它被编入索引的人应该从Google Voice或其他类似服务获得一个虚拟电话号码。
【参考来源:bleepingcomputer】