طبق تحقیقات یک محقق، گوگل در حال ایندکس کردن شماره تلفنهای کاربران WhatsApp است که این موضوع، نگرانیهایی جدی درباره حریم خصوصی افراد ایجاد میکند؛ به همین جهت، به کاربران واتساپ هشدار داده است.
ایندکس شدن شماره تلفنهای افراد در گوگل، به سادگی میتواند امنیت کاربران این اپلیکیشن را به خطر بیندازد زیرا مهاجمان میتوانند از این موضوع سوءاستفاده کنند. حتی اگر گوگل فقط شماره تلفنها را نمایش دهد و اطلاعات هویتی مربوط به مالکان آنها را نشان ندهد، مهاجمان میتوانند از طریق عکس پروفایل کاربران که قابل مشاهده است، به اطلاعات هویتی آنها دست پیدا کنند. به این صورت که اگر کاربر از همین عکس برای پروفایل حسابهای کاربری دیگرش هم استفاده کرده باشد، میتوان با جستجوی این تصویر در گوگل، به شبکههای اجتماعی کاربر دست پیدا کرد. دسترسی به شبکههای اجتماعی افراد کافی است تا مهاجم بتواند اطلاعات مورد نیاز خود را جمعآوری کند.
در اوایل سال جاری، Jordan Wildon، یکی از روزنامهنگاران Deutsche Welle، متوجه شد که لینکهای دعوت که کاربران واتساپ و تلگرام برای یکدیگر ارسال میکنند، از طریق موتورهای جستجوگر در دسترس هستند. مهاجمان میتوانند از این لینکهای دعوت برای پیوستن به گروههای خصوصی استفاده کنند. حالا محقق امنیتی، Athul Jayaram، یک نشت اطلاعات از دامنه wa.me واتساپ پیدا کرده است که شماره تلفنهای کاربران را در گوگل نمایش میدهد.
دامنه wa.me برای میزبانی از لینکهای “click to chat” استفاده میشود که به کاربران اجازه میدهد بدون این که شماره تلفن کسی را در لیست مخاطبان خود ذخیره داشته باشند، بتوانند با او چت کنند. برای ایجاد لینکهای click to chat، از https://wa.me/ استفاده میشود که یک شماره تلفن در فرمت بینالمللی است. Jayaram همچنین اظهار داشت که یافتن شماره تلفن کاربران واتساپ به صورت آنلاین بسیار ساده است.
دامنههای wa.me یا api.whatsapp.com از crawl شدن توسط موتورهای جستجوگر جلوگیری نمیکنند. در صورت نشت پیدا کردن یک شماره تلفن، مهاجم میتواند با او تماس بگیرد، به او پیام دهد یا شمارهها را به بازاریابها، کلاهبرداران و اسپمرها بفروشد. همچنین متخصصان حوزه امنیت اعلام کردهاند که ویژگی click to chat میتواند اکسپلویت شود و برای شمارش شماره تلفنهای صحیح مورد استفاده قرار گیرد. Jayaram این مشکل را به فیسبوک گزارش داد اما این کمپانی این مورد را به عنوان باگ بانتی نپذیرفت. پاسخ فیسبوک را در زیر میخوانیم:
” با وجود این که از گزارش این محقق قدردانی میکنیم و برای زمانی که وی برای به اشتراک گذاشتن این مطلب با ما در نظر گرفته است، ارزش قائلیم، این مورد شرایط لازم برای باگ بانتی را ندارد زیرا فقط شامل URLهای ایندکس شدهای است که کاربران Whatsapp انتخاب کردهاند که عمومی باشند. تمام کاربران واتساپ، از جمله کسب و کارها، میتوانند پیامهای ناخواسته را با فشردن یک دکمه مسدود کنند.”
راهکار این مشکل بسیار ساده است. استفاده از robot.txt در دامنههای فوق، از خزیدن رباتهای گوگل جلوگیری میکند. با وجود این، Jayaram گفت که فیسبوک هنوز این کار را نکرده و به همین دلیل، حریم خصوصی کاربران همچنان در معرض خطر است. به این دلیل که امروزه، شماره تلفن همراه افراد به کیف پول بیت کوین، حسابهای بانکی، UPI، کارتها اعتباری و… متصل است.
