Исследователь безопасности Атул Джаярам обнаружил в WhatsApp крупную проблему конфиденциальности, из-за которой номера телефонов могут оказаться в публичном доступе. Вина за это лежит на функции Click to Chat ("Прямая связь"), которая разрешает поисковым роботам Google индексировать данные пользователей.
Click to Chat — это функция в приложении и веб-версии WhatsApp, позволяющая связаться с собеседником, номер которого не сохранен в адресной книге. Для этого можно создать ссылку (вида "https://wa.me/<номер телефона>"), при нажатии на которую чат с этим человеком будет открыт автоматически.
Как выяснил Джаярам, Click to Chat не шифрует данные, а добавляет их прямо к домену wa.me, принадлежащему WhatsApp. В результате номера телефонов выставляются на всеобщее обозрение, поскольку поисковые роботы умеют индексировать метаданные, включенные в состав ссылки.
Эксперт лично обнаружил в выдаче Google около 300 тысяч действительных номеров телефонов, пишет TechRadar. Полное имя пользователя скрыто, однако картинка профиля в WhatsApp остается видна.
"Ваш номер отображается в этой ссылке в виде обычного текста, и любой, кто её получит, сможет узнать ваш телефон. Отменить это нельзя, — объяснил эксперт. — Получив номера, злоумышленник может писать сообщения и звонить их владельцам, а также продавать эти данные маркетологам, спамерам и мошенникам.
По словам Джаярама, он сообщил о проблеме представителям компании Facebook (запрещена в РФ) (владеющей WhatsApp), но те сочли её несущественной. Там пояснили, что пользователи, которые создают общедоступные ссылки, заведомо соглашаются на публикацию этих данных. Что касается спама, то "все пользователи WhatsApp, включая бизнес, могут блокировать нежелательные сообщения одним нажатием кнопки", напомнили в компании.
