15:40
8/6/2020

Czy powinna istnieć publiczna “książka telefoniczna” użytkowników WhatsAppa? W pewnym sensie ona istnieje i trudno powiedzieć czy to zamierzona cecha czy może niedopatrzenie twórców komunikatora.

Niektóre komunikatory mają ciekawą… ni to funkcję ni wadę. Ich użytkownicy lub grupy użytkowników mogą tworzyć linki z zaproszeniami do rozmowy. Jeśli te linki zostaną upublicznione przez użytkowników to nie ma problemu. Gorzej, gdy te linki są indeksowane przez wyszukiwarki. To de facto tworzy nieplanowane spisy użytkowników lub grup.

Wyszukiwanie grup

W lutym tego roku dziennikarz Deutsche Welle Jordan Wildon zauważył, że funkcja zapraszania do grupy na WhatsAppie za pomocą linku korzysta ze stron internetowych, które są indeksowane przez Google. Tworząc odpowiednie zapytania Wildon znajdował naprawdę ciekawe grupy.

Ciekawe wyszukiwania Jordana Wildona

Dziennikarz uznał (raczej słusznie) że jest to pewien problem z punktu widzenia prywatności. Przedstawił swoje znalezisko na Twitterze, a w odpowiedziach odezwała się osoba, która wcześniej zgłaszała sprawę Facebookowi (tą osobą był @hackrzvijay). Z odpowiedzi Facebooka wynikało, że idea udostępniania linków każdemu była… w zasadzie elementem zamierzonego działania produktu. Facebook dodał też, że… nie może kontrolować wyszukiwarek.

 

Źródło: Hackrzvijay

Jeszcze inna osoba twierdziła, że błąd był zgłaszany w 2016. WhatsApp chyba ostatecznie dostrzegł w tym błąd. Do stron z linkami do grup z czasem dodano metatag “noindex”. Efekt jest taki, że po wpisaniu do Google zapytania z operatorem…

site:chat.whatsapp.com

…nie znajdziemy żadnych stron zapraszających do grup. Niestety w wyszukiwarkach Bing czy Yandex takie strony ciągle się odnajdują.

Numery użytkowników WhatsAppa w Google

Nowy problem podobnego rodzaju znalazł Athul Jayaram. Zauważył on, że Google indeksuje adresy z domeny wa.me w formacie…

https://wa.me/XXXXXXXXXXX

…gdzie XXXXXXXXXXX to numer telefonu w formacie międzynarodowym, bez żadnych dodatkowych znaków.

Takie adresy tworzone są w ramach funkcji WhatsAppa “Kliknij i czatuj“, która ma umożliwiać rozpoczęcie czatu z osobami, których numery telefonów nie są zapisane w książce adresowej telefonu. Nietrudno wyobrazić sobie operator wyszukiwania, który pozwoli na wyszukanie polskich numerów użytkowników WhatsAppa.

I znów tradycyjne pytanie, czy to jest feature czy bug?

Z punktu widzenia prywatności to może być błąd. Przede wszystkim można sprawdzić, czy dany numer telefonu jest używany do rozmów przez WhatsAppa (jełli został wyrejestrowany to klikając na niego zobaczymy informację na ten temat). Można też stworzyć sobie listę numerów, które będą np. bazą dla spamerów.

Można sobie również wyobrazić wykorzystanie tej cechy WhatsAppa w działaniach OSINT. Jeśli interesujący nas numer znajdzie się w Google to klikając na zaproszenie w urządzeniu z zainstalowanym WhatsAppem możemy zobaczyć zdjęcie profilowe użytkownika. Może ono być zdjęciem osoby, logiem firmy lub – w najgorszym wypadku – grafiką stanowiącą abstrakcyjny awatar. Skopiowanie obrazu i wyszukanie go w internecie może naprowadzić na kolejne ślady o użytkowniku.

Sprawa została zgłoszona do programu Bug Bounty Facebooka, ale Facebook już odpowiedział, iż ten problem nie obejmuje platformy Facebooka, zatem nagrody nie będzie. Zresztą, czy naprawdę jest to problem? Przejrzawszy część profili numerów na stronach wa.me szybko się przekonamy, że są to numery firm, którym nie przeszkadza publiczna widoczność. Części użytkowników jednak będzie to przeszkadzać.

Postanowiliśmy zrobić eksperyment podobny jaki zrobił serwis Threatpost. Odezwaliśmy się do kilku osób, których numery znaleźliśmy w Google. Spytaliśmy, czy te osoby wiedzą, że link do czatu z nimi da się znaleźć publicznie. Wysłaliśmy 5 takich pytań, a do chwili pisania tego tekstu odpowiedziało nam 4 użytkowników WhatsAppa. Dwie osoby nie miały problemu z publiczną widocznością, natomiast dwie były zaskoczone i raczej niezadowolone. Jedna z tych osób zauważyła, że WhatsApp obiecuje “prywatność w DNA” więc to chyba nie powinno tak wyglądać.

Aktualizacja 9.06.2020 10:09

Niniejszy tekst był modyfikowany. W jego poprzedniej wersji była wzmianka o wyszukiwaniu grup na Telegramie w sposób podobny jak można było wyszukać grupy na WhatsAppie. Jak słusznie zauważyli w komentarzach czytelnicy, wyszukiwanie dla grup Telegrama obejmowało grupy publiczne. Owszem, niektórzy użytkownicy Telegrama i tak byli tym zaskoczeni, niemniej charakter tego komunikatora i grup na nim tworzonych sprawiają, że nie ma sensu łączyć go z tą sprawą. Poprawiliśmy artykuł usuwając wzmiankę o Telegramie i skupiając się na problemie WhatsAppa.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

9 komentarzy

Dodaj komentarz
  1. zabrakło mi na końcu informacji:
    A jeśli nie chcesz aby Twój numer również “wyciekł” polecamy zacznij używać Signal.
    Dzięki temu że Twój profil jest szyfrowany podobnie jak wiadomości w Signal,nikt oprócz Ciebie i Twoich kontaktów nie ma do nich dostępu. (A dodatkowo trwają prace nad tym aby w Signal dało kontaktować się bez udostępniania numerów).

  2. Niezmiennie mnie dziwi zdziwienie użytkowników, że GAFA są pazerni na dane i ich agregowanie jak stonka na łęcinę.
    BTW: to bardzo odważne tak publikować napisy “robaczkami” i “krzaczkami”. Nie wiadomo co tam jest napisane – może coś naruszającego RODO albo głupie uwagi na temat podobieństwa Kubusia Puchatka do znanych osób.

  3. Szybko usunęli te dane z indeksu ;)

  4. U mnie to nie działa. Żadnych wyników.

  5. “Telegram też tak ma”. Mhm. Tylko, że Telegram nie “wycieka” prywatnych grup do wyszukiwarki tylko publiczne. Do których każdy może dołączyć. Poza tym to nie numery telefonów. Niebezpiecznik jak zwykle na tropie sensacji.

    • Mieliśmy powody by twierdzić, że użytkownikom Telegrama też nie do końca to to indeksowanie pasuje. Z drugiej strony, zważywszy na charakter tych grup, masz rację że niepotrzebne jest łączenie jednego z drugim. Poprawiliśmy tekst.

  6. Nowi to oni nie są… książki telefoniczne istniały już w latach dziewięćdziesiątych, zaraz po transformacji – i ciągle istnieją ;)

  7. Czyżby usunęli? Nie pokazuje już żadnych wyników, a wczoraj wieczorem jeszcze działało

  8. Ale przecież w ustawieniach whatsapp jest zakładka prywatność. Niebezpieczniku sprawdź to

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: