印度独立安全研究人员Athul Jayaram近日披露,他发现利用Google搜索,就可以找到2.9万笔到3万笔的WhatsApp用户电话号码,而问题则出在于WhatsApp的点击对话(click to chat)功能。
WhatsApp虽然是以电话号码作为注册依据,但添加好友时不一定要提供电话号码,而是只要扫描QR code即可。然而,WhatsApp特别替网站或商家设计的点击对话功能,则是通过“https:”//wa.me/产生一个含有电话号码的连接,用户只要点击该连接,就会打开WhatsApp,并可通讯给对方或是与对方通话。
Jayaram指出,一来该连接并未加密,因此用户从连接中就能看到明文的电话号码,若是大量分享连接,曝光的范围就更大了;二来“https ://wa.me”并未在服务器上创建禁止Google或其它搜索引擎索引该站内容的robots.txt文件,因而让搜索引擎得以爬梳并索引这些电话号码。
于是,当在Google上执行特定的搜索字符串时,就会出现大量的WhatsApp电话号码,点击相关的连接,即可通过WhatsApp与对方通讯或通话,当然也可直接发送短信至该电话号码,此外,若加上国码,也可将搜索范围缩小至特定国家,也许是台湾使用WhatsApp的人数不多,当加入+886进行搜索时,只出现3笔结果。
由于WhatsApp为脸书的子公司,因此Jayaram企图通过漏洞挖掘奖励项目联系脸书,但脸书则说该项目并未涵盖WhatsApp。Jayaram在6月7日对外公开了该bug,而今日(6/8)依然可通过Google找到大量的WhatsApp用户电话号码。
Jayaram表示,用户的电话号码可能连接了加密钱包、银行账号或信用卡,并让黑客有机可乘,而WhatsApp其实只要加密连接中的电话号码,或创建robots.txt就能预防此事了。