Телефоны пользователей WhatsApp в поисковой выдаче Google — баг или фича

Телефоны пользователей WhatsApp в поисковой выдаче Google — баг или фича

Исследователь в области безопасности обнаружил ряд телефонных номеров, привязанных к аккаунтам WhatsApp, в открытом доступе. Оказалось, что поисковой движок Google проиндексировал их, в связи с чем эксперт объявил это проблемой конфиденциальности.

Специалист ссылается на функцию под названием «Click to Chat», поскольку именно она позволяет поисковой системе Google Search индексировать телефонные номера пользователей.

Однако представители Facebook утверждают, что это абсолютно нормальная ситуация — поисковик индексирует лишь то, что люди сами предпочли сделать общедоступным.

С такой позицией несогласен Атул Джейрем, занимающийся поиском уязвимостей и других проблем безопасности. Он называет появление телефонов в поисковой выдаче «утечкой» и считает, что в WhatsApp присутствует баг, угрожающий конфиденциальности пользователей.

Давайте разберёмся, что же собой представляет «Click to Chat». На самом деле, эта функция может быть действительно полезна, поскольку позволяет веб-сайтам общаться с посетителями через WhatsApp.

Для этого используется специальный QR-код, связанный с телефонным номером владельца или администратора веб-ресурса. Зашедший на сайт пользователь может просканировать этот код, а затем кликнуть ссылку, которая запустит сессию в WhatsApp.

Джейрем видит проблему в том, что телефонные номера пользователей могут всплывать в поисковой выдаче Google, поскольку движки таких систем сканируют метаданные Click to Chat. При этом сами номера телефонов являются частью строки URL — https://wa.me/<телефонный_номер>.

В результате, как утверждает исследователь, происходит утечка телефонных номеров в виде простого текста, что позволит спамерам собрать их и использовать в своих кампаниях.

Баг или фича? Представители Threatpost связались с отдельными пользователями, чьи телефоны доступны в Сети. В большинстве случаев люди были в курсе так называемой «утечки» и даже специально использовали ситуацию для продвижения своего бизнеса или услуг.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Злоумышленник может удалённо деактивировать ваш WhatsApp-аккаунт

Оказывается, злоумышленники теперь могут удалённо деактивировать ваш WhatsApp-аккаунт и даже препятствовать его восстановлению. Более того, двухфакторная аутентификация (2FA) не остановит атакующих, если они воспользуются описанным экспертами методом.

Чтобы привести схему в действие, злоумышленнику сначала потребуется узнать телефонный номер жертвы. Далее он устанавливает на своё устройство WhatsApp и вводит телефон пользователя.

После этого жертве должны прийти шестизначные коды подтверждения или поступить звонки от WhatsApp. Помимо этого, сам мессенджер будет выводить уведомления с кодом верификации и соответствующими инструкциями.

 

Атакующий постоянно запрашивает коды для проверки и постоянно вводит неверные цифры. Жертва, само собой, будет получать СМС-сообщения, но поскольку коды верификации некуда вводить, эти уведомления, скорее всего, просто будут игнорироваться.

Как известно, WhatsApp ограничивает число попыток ввода кода верификации. Таким образом, после нескольких «промахов» атакующий увидит сообщение о том, что попытки надо повторить спустя 12 часов.

 

Ключевым моментом является это 12-часовое окно, поскольку в это время законный владелец учётной записи не будет получать коды для проверки. В сущности, заморозка верификации сама по себе не представляет угрозы, но может сыграть злую шутку, если пользователь деактивирует аккаунт.

И тут мы как раз подходим к проблеме номер два. Атакующий регистрирует новый адрес электронной почты в Gmail, после чего отправляет письмо на [email protected]. В этом письме злоумышленник заверяет техподдержку WhatsApp, что у него украли (либо он сам потерял) телефон, и теперь его аккаунт нужно деактивировать.

При этом злодей указывает телефонный номер жертвы и подтверждает его в повторном письме. Именно так запускается автоматический процесс, который деактивирует учётную запись пользователя. Спустя приблизительно час жертва увидит сообщение:

«Ваш телефонный номер не привязан к WhatsApp на этом устройстве. Вполне возможно, что вы зарегистрировали его на другом телефоне. Если вы этого не делали, попробуйте снова войти в свой аккаунт».

Однако коды для подтверждения входа, как вы уже поняли, не придут — в ход вступает 12-часовое окно. Атакующий может пойти и дальше: он запустит три таких 12-часовых цикла, а WhatsApp сломается. В частности, сообщение скажет, что вы можете попробовать повторно войти в аккаунт «через -1 секунду».

 

На этом этапе, как объяснили исследователи в разговоре с Forbes, пользователь уже не может сделать ничего самостоятельно. Ему нужно выйти на того, кто поможет ему вернуть доступ.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru