amazon gaming week 2020

WhatsApp, numeri di telefono in chiaro direttamente su Google

Tramite un ricercatore indiano di nome Athul Jayaram, veniamo a conoscenza di una falla di sicurezza di WhatsApp parecchio grave, che espone al pubblico i numeri di telefono degli utenti.

Al giorno d’oggi tenere al sicuro i propri dati è diventata una vera priorità, considerando le molteplici applicazioni con le quali effettuiamo l’accesso utilizzando informazioni strettamente personali. Si cerca quindi di utilizzare le applicazioni che garantiscono perlomeno una protezione adeguata dei dati sensibili, con il minor rischio di furto. Tra quelle più impiegate oggi troviamo sicuramente quelle di messaggistica istantanea, quindi Telegram, Messenger e WhatsApp. Quest’ultima in particolare introduce una crittografia end-to-end sulle chat, impedendo ad altri utenti di poter accedere al suo contenuto.

Sembra però che nelle ultime ore sia spuntato fuori un problema ancora più grave. Infatti è possibile individuare i numeri di telefono di svariati utenti, che usano l’applicazione, semplicemente utilizzando una classica ricerca su Google.

WhatsApp, numeri di telefono in chiaro direttamente su Google 1

Effettuando infatti una ricerca del tipo site:api.whatsapp.com, che filtra la ricerca ai soli url del tipo api.whatsapp.com, otteniamo come risultato un elenco di numeri di telefono, corrispondenti a contatti veri e propri di utenti esistenti. Se poi utilizziamo un ulteriore filtro in base al prefisso (es. +39 per l’Italia), possiamo ricavare una lista di numeri di telefono di un determinato paese.

Come è possibile tutto ciò? Tutto dipende dalla funzione Clicca per chattare di WhatsApp stesso, che genera un link del tipo https://wa.me/<numero> senza però crittografarlo oppure senza specifici parametri che ne impediscano l’indicizzazione su Google. Siccome il servizio si basa sulle API di WhatsApp, tutti gli elementi che fanno riferimento a tali librerie vengono visualizzati nella ricerca, tra cui i numeri di telefono degli utenti. Cliccando su un qualsiasi collegamento è possibile non solo leggere il numero ma anche visualizzare la foto del profilo dell’utente e le sue informazioni. Questa falla può portare ad attacchi di tipo phishing o marketing scorretto. Sarebbe inoltre possibile per eventuali hacker sviluppare un semplice script per ricavare una lunga serie di identità, dato che ogni singolo numero, anche se inesistente o non valido, può generare un link ad una chat.

Inizialmente il problema si presentava anche con i link del tipo wa.me, ma sembra che WhatsApp abbia tamponato, seppur in parte, il problema. Sfortunatamente non è stata fixata la vulnerabilità anche per l’altro tipo di link, rendendo quindi ancora non protetti i numeri degli utenti. Per il momento vi consigliamo quindi di non utilizzare questa particolare funzione di WhatsApp, in modo tale che il vostro numero personale non finisca in rete pubblicamente.

Aggiornamento 10/06/20: sembra che ora anche la ricerca tramite site:api.whatsapp.com non restituisca più alcun risultato. Quindi per il momento il problema è risolto.

Potrebbero interessarti anche...