Gli utenti che utilizzano la funzione Clicca per chattare di WhatsApp rischiano di ritrovarsi i loro numeri di telefono in chiaro nelle ricerche di Google. Ma per WhatsApp non si tratta di una falla di sicurezza.
AGGIORNAMENTO: malgrado le dichiarazioni iniziali sul “non bug”, WhatsApp ha risolto il problema che causava la visualizzazione dei numeri di telefono di alcuni dei suoi utenti nei risultati di ricerca di Google.
Un ricercatore di sicurezza ha scoperto che i numeri di telefono degli utenti che utilizzano la funzione Clicca per chattare di WhatsApp sono esposti in chiaro nei risultati di Google.
Clicca per chattare è una funzione di WhatsApp che consente ai visitatori di un sito Web di avviare una conversazione con gli operatori di quel sito tramite il servizio di messaggistica. La funzione è molto utilizzata dagli e-commerce, che in questo modo forniscono un servizio di assistenza diretta ai propri clienti.
Tuttavia, secondo il ricercatore Athul Jayaram, l’utilizzo di questa funzione può esporre il numero di telefono di un utente nei risultati di ricerca pubblici, aprendo la porta a vari tipi di truffe e attacchi informatici. Si tratta di una notizia che non farà felici gli utenti, visto che WhatsApp da qualche tempo si erge come baluardo della sicurezza grazie alla crittografia end-to-end applicata alle singole conversazioni.
In pratica, i numeri di telefono degli utenti vengono esposti dal dominio “wa.me” di proprietà di WhatsApp, che memorizza i metadati Click to Chat in una stringa URL (ad esempio https://wa.me/< numero WhatsApp>). Poiché non esiste alcuna misura per impedire ai motori di ricerca di indicizzare questi metadati, i numeri sono effettivamente disponibili nei risultati di ricerca pubblici:
Il tuo numero di cellulare è visibile in chiaro in questo URL e chiunque sia in possesso dell’URL può conoscere il tuo numero di cellulare. Non puoi eliminarlo. Poiché i singoli numeri di telefono sono disponibili in chiaro, un utente malintenzionato può inviare messaggi, chiamare o vendere questi numeri a operatori di marketing, spammer e truffatori.
Jayaram ha scoperto 300.000 numeri di WhatsApp resi pubblici tramite questo meccanismo. Facendo clic sulla pagina Web non si scopre il nome completo dell’utente, ma si può scoprire la sua immagine del profilo WhatsApp.
Il ricercatore ha segnalato il problema a Facebook attraverso il programma ufficiale di bug bounty, ma l’azienda ha spiegato che non si tratta di una falla di sicurezza e che gli utenti WhatsApp hanno il pieno controllo delle informazioni del loro profilo rese pubbliche sul Web:
Sebbene apprezziamo il report di questo ricercatore e apprezziamo il tempo impiegato per condividerlo con noi, non è qualificato per un premio poiché conteneva semplicemente un indice del motore di ricerca degli URL che gli utenti di WhatsApp hanno scelto di rendere pubblici. Tutti gli utenti di WhatsApp, comprese le aziende, possono bloccare i messaggi indesiderati con il semplice tocco di un tasto.
Jayaram, tuttavia, ritiene che Facebook dovrebbe prendere più seriamente questa divulgazione, a causa della portata degli attacchi che il problema potrebbe sicuramente facilitare.
Cosa ne pensate?