Numeri di WhatsApp su Google, scoperto un bug che mette a rischio la nostra privacy

Sono circa 300 mila i numeri di telefono associati ad altrettanti account WhatsApp di ignari utenti finiti in chiaro su Google a causa di un bug individuato nella funzione “Clicca per chattare” dell’app di messaggistica istantanea.

Lo strumento “Clicca per chattare”, in particolare, è uno dei meno conosciuti dell’app di messaggistica istantanea ma molto utilizzato dalle piccole e microimprese di tutto il mondo per connettersi con i propri clienti attraverso i siti Web aziendali. Consente, infatti, di aggiungere un pulsante nelle pagine dei siti attraverso il quale gli utenti possono avviare una conversazione con i gestori dei siti stessi tramite il servizio di messaggistica.

La falla di sicurezza è stata individuata dal ricercatore di sicurezza indipendente e cacciatore di bug Athul Jayaram e potrebbe aprire la porta a ogni sorta di truffe e cyber attacchi ai danni degli intestatari dei numeri di telefono indicizzati da Google.

Si tratta, dunque, di un altro pericoloso bug scoperto a poca distanza di tempo da quello che consentiva il furto di account WhatsApp mediante finti SMS inviati da contatti presenti in rubrica.

I dettagli del bug

Il bug è stato prontamente segnalato prima a Facebook (proprietaria di WhatsApp) nell’ambito del programma “Bug-bounty Program” che prevede una ricompensa monetaria per tutti coloro che scoprono un bug nella piattaforma di social network e successivamente agli stessi sviluppatori di WhatsApp, che però hanno risposto di essere al corrente di quella che non ritengono essere una falla di sicurezza in quanto una eventuale ricerca su Google mostrerebbe solo informazioni che gli utenti stessi hanno deciso di rendere pubbliche attraverso le pagine dei loro stessi siti Web.

In realtà, i numeri degli utenti finiti in chiaro nelle pagine di ricerca di Google sono stati esposti dal dominio wa.me di proprietà di WhatsApp che memorizza in una stringa di URL del tipo visto precedentemente proprio i metadati raccolti dalla funzione “Clicca per chattare”.

I gestori del dominio wa.me, infatti, non hanno previsto nella directory principale del sito alcun file di testo contenente le regole che bloccano o consentono l’accesso di un determinato crawler (software che analizza automaticamente i contenuti di una rete, di un database o di un sito Web in genere per conto di un motore di ricerca) a un percorso di file specificato nel sito web in questione.

Questa grossolana mancanza consente proprio a Google e agli altri motori di ricerca di indicizzare tutti i contenuti che puntano a questo dominio, compreso quindi i numeri telefonici associati a WhatsApp e utilizzati mediante la funzione “Clicca per chattare” e per questo motivo i numeri di 300 mila ignari utenti sono finiti nei risultati della ricerca pubblica.

Purtroppo i numeri di cellulare sono visibili in chiaro nelle URL associate al dominio wa.me e chiunque se ne impadronisca può quindi conoscere il numero di cellulare dell’utente. E purtroppo non è possibile revocarlo.

Inoltre, un clic sull’URL non rivela il nome dell’utente associato all’utente WhatsApp (ricordiamo che l’app identifica gli utenti in base ai numeri di telefono e non dal loro username come avviane ad esempio nelle mailbox), ma la sua immagine del profilo.

Partendo da questa, un attaccante determinato potrebbe effettuare una ricerca per immagini e raccogliere abbastanza indizi online (ad esempio sui social network) per stabilire l’identità dell’utente e sfruttare poi queste preziose informazioni per compiere truffe mirate oppure venderle a marketer, spammer e truffatori.

Come scoprirlo?

In attesa che il bug venga corretto o quantomeno che WhatsApp intervenga per impedire l’indicizzazione in chiaro dei numeri di telefono archiviati sul dominio wa.me, è possibile effettuare una semplice verifica per scongiurare che il nostro numero sia liberamente accessibile online:

• basta collegarsi, innanzitutto, alla home page di Google e, nella barra di ricerca, si scrive la stringa site:wa.me seguita dal numero di telefono secondo lo schema: site:wa.me +39 123 456 7890;

• se dovesse comparire un risultato, vorrebbe dire che il numero di telefono è stato esposto online. Ovviamente, in questo caso, non ci sarebbe alcun problema di violazione della privacy qualora avessimo deciso di usare il servizio “Clicca per chattare” di WhatsApp per consentire agli utenti di contattare più facilmente noi o la nostra azienda.

 

Fonte: Cybersecurity360