Recentemente, um pesquisador de segurança alertou sobre uma ameaça à segurança representada pelo messenger do WhatsApp conhecida como ‘Clique para conversar’. Essa função permite que o Google indexe os números de telefone dos usuários, e todos os números indexados podem ser facilmente encontrados por qualquer pessoa no mecanismo de pesquisa .
O pesquisador de segurança, que relatou sobre a falha de segurança “Click to Chat”, Athul Jayaram esclareceu que, essa falha permite que os sites iniciem rapidamente as conversas do WhatsApp com seus visitantes.
Em resumo, a função geralmente funciona atribuindo um código QR ao número de telefone do proprietário do recurso.
Aqui, o visitante do site apenas precisa escanear o código QR ou clicar no URL, e o diálogo no WhatsApp começará. Além disso, não há necessidade de inserir um número de telefone, mas quando a conversa começa, o usuário ainda tem acesso a ele.
“Aqui, o problema é que esses números vão para o Google, pois o mecanismo de pesquisa indexa os metadados do ‘Clique para Conversar’. E o número de telefone é incluído na string do URL (https://wa.me/
Em resumo, é uma das opções lucrativas para os Spammers, pois essa brecha na segurança permitirá que eles criem facilmente bancos de dados bem estruturados de números de telefone originais para usá-los em suas campanhas maliciosas pessoais.
Além disso, Athul anunciou claramente e relatou que conseguiu descobrir cerca de 300.000 números de telefone válidos a partir do mecanismo de pesquisa, pois eles já estão indexados no Google.
Embora os números de telefone não estejam vinculados aos nomes de seus proprietários, aqui o fato é que os invasores ainda podem descobrir a quem pertencem.
Se você clicar no URL com um número de telefone nos resultados de pesquisa do Google, o perfil de um usuário será aberto junto com a foto. Um invasor pode usar a pesquisa na imagem e coletar dados suficientes sobre a vítima em potencial.
O WhatsApp rejeitou este bug do Bug Bounty
O pesquisador de segurança, Athul Jayaram, disse ao WhatsApp sobre a descoberta, mas a empresa claramente recusou sua descoberta por considerá-la uma falha de segurança. De acordo com um porta-voz do WhatsApp, aqui, os próprios usuários optaram por tornar seus números de telefone públicos.
Além disso, eles também esclareceram que o programa de recompensas por bugs abrange os Facebook apenas plataformas, enquanto o WhatsApp é apenas uma parte dele. Além disso, eis o que o mediador público do Google, Danny Sullivan, disse em seu Twitter manipulador: –
Ainda assim, o pesquisador de segurança Athul Jayaram esclareceu seus pontos de vista sobre a falha e recomendou fortemente ao WhatsApp criptografar imediatamente os números de celular de todos os seus usuários e anexar um arquivo robots.txt para impedir que os bots rastreiem seu domínio no qual esse recurso está disponível.
Bug Resolved
O WhatsApp resolveu esse problema logo depois relatou esse bug e o revelou online.
O porta-voz do WhatsAPP disse que “um porta-voz do WhatsApp disse que esse recurso, chamado Click to Chat, foi projetado para ajudar os usuários, especialmente as pequenas e as microempresas de todo o mundo, a se conectarem com seus clientes”.
“Apesar de apreciarmos o relatório deste pesquisador e valorizarmos o tempo que ele levou para compartilhá-lo conosco, ele não se qualificou para receber uma recompensa, pois apenas continha um índice de URLs que os usuários do WhatsApp optaram por tornar público. Todos os usuários do WhatsApp, incluindo empresas, podem bloquear mensagens indesejadas com o toque de um botão ”
Você pode nos seguir no Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética e hackers.
