آبان ۱۵, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat

گوگل شماره تلفن کاربران WhatsApp را ایندکس می‌کند

گوگل شماره تلفن کاربران WhatsApp را ایندکس می‌کند

طبق تحقیقات یک محقق، گوگل در حال ایندکس کردن شماره تلفن‌های کاربران WhatsApp است که این موضوع، نگرانی‌هایی جدی درباره حریم خصوصی افراد ایجاد می‌کند؛ به همین جهت، به کاربران واتساپ هشدار داده است.

ایندکس شدن شماره تلفن‌های افراد در گوگل، به سادگی می‌تواند امنیت کاربران این اپلیکیشن را به خطر بیندازد زیرا مهاجمان می‌توانند از این موضوع سوءاستفاده کنند. حتی اگر گوگل فقط شماره تلفن‌ها را نمایش دهد و اطلاعات هویتی مربوط به مالکان آن‌ها را نشان ندهد، مهاجمان می‌توانند از طریق عکس پروفایل کاربران که قابل مشاهده است، به اطلاعات هویتی آن‌ها دست پیدا کنند. به این صورت که اگر کاربر از همین عکس برای پروفایل حساب‌های کاربری دیگرش هم استفاده کرده باشد، می‌توان با جستجوی این تصویر در گوگل، به شبکه‌های اجتماعی کاربر دست پیدا کرد. دسترسی به شبکه‌های اجتماعی افراد کافی است تا مهاجم بتواند اطلاعات مورد نیاز خود را جمع‌آوری کند.

در اوایل سال جاری، Jordan Wildon، یکی از روزنامه‌نگاران Deutsche Welle، متوجه شد که لینک‌های دعوت که کاربران واتساپ و تلگرام برای یکدیگر ارسال می‌کنند، از طریق موتورهای جستجوگر در دسترس هستند. مهاجمان می‌توانند از این لینک‌های دعوت برای پیوستن به گروه‌های خصوصی استفاده کنند. حالا محقق امنیتی، Athul Jayaram، یک نشت اطلاعات از دامنه wa.me واتساپ پیدا کرده است که شماره تلفن‌های کاربران را در گوگل نمایش می‌دهد.

دامنه wa.me برای میزبانی از لینک‌های “click to chat” استفاده می‌شود که به کاربران اجازه می‌دهد بدون این که شماره تلفن کسی را در لیست مخاطبان خود ذخیره داشته باشند، بتوانند با او چت کنند. برای ایجاد لینک‌های click to chat، از https://wa.me/ استفاده می‌شود که یک شماره تلفن در فرمت بین‌المللی است. Jayaram همچنین اظهار داشت که یافتن شماره تلفن کاربران واتساپ به صورت آنلاین بسیار ساده است.

امنیت واتساپ

دامنه‌های wa.me یا api.whatsapp.com از crawl شدن توسط موتورهای جستجوگر جلوگیری نمی‌کنند. در صورت نشت پیدا کردن یک شماره تلفن، مهاجم می‌تواند با او تماس بگیرد، به او پیام دهد یا شماره‌ها را به بازاریاب‌ها، کلاهبرداران و اسپمرها بفروشد. همچنین متخصصان حوزه امنیت اعلام کرده‌اند که ویژگی click to chat می‌تواند اکسپلویت شود و برای شمارش شماره‌ تلفن‌های صحیح مورد استفاده قرار گیرد. Jayaram این مشکل را به فیسبوک گزارش داد اما این کمپانی این مورد را به عنوان باگ بانتی نپذیرفت. پاسخ فیسبوک را در زیر می‌خوانیم:

” با وجود این که از گزارش این محقق قدردانی می‌کنیم و برای زمانی که وی برای به اشتراک گذاشتن این مطلب با ما در نظر گرفته است، ارزش قائلیم، این مورد شرایط لازم برای باگ بانتی را ندارد زیرا فقط شامل URLهای ایندکس شده‌ای است که کاربران Whatsapp انتخاب کرده‌اند که عمومی باشند. تمام کاربران واتساپ، از جمله کسب و کارها، می‌توانند پیام‌های ناخواسته را با فشردن یک دکمه مسدود کنند.”

راهکار این مشکل بسیار ساده است. استفاده از robot.txt در دامنه‌های فوق، از خزیدن ربات‌های گوگل جلوگیری می‌کند. با وجود این، Jayaram گفت که فیسبوک هنوز این کار را نکرده و به همین دلیل، حریم خصوصی کاربران همچنان در معرض خطر است. به این دلیل که امروزه، شماره تلفن همراه افراد به کیف پول بیت کوین، حساب‌های بانکی، UPI، کارت‌ها اعتباری و… متصل است.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب