印度獨立安全研究人員Athul Jayaram近日披露,他發現利用Google搜索,就可以找到2.9萬筆到3萬筆的WhatsApp用戶電話號碼,而問題則出在於WhatsApp的點擊對話(click to chat)功能。
WhatsApp雖然是以電話號碼作為註冊依據,但添加好友時不一定要提供電話號碼,而是只要掃描QR code即可。然而,WhatsApp特別替網站或商家設計的點擊對話功能,則是通過「https:」//wa.me/產生一個含有電話號碼的連接,用戶只要點擊該連接,就會打開WhatsApp,並可通訊給對方或是與對方通話。
Jayaram指出,一來該連接並未加密,因此用戶從連接中就能看到明文的電話號碼,若是大量分享連接,曝光的範圍就更大了;二來「https ://wa.me」並未在伺服器上創建禁止Google或其它搜尋引擎索引該站內容的robots.txt文件,因而讓搜尋引擎得以爬梳並索引這些電話號碼。
於是,當在Google上執行特定的搜索字符串時,就會出現大量的WhatsApp電話號碼,點擊相關的連接,即可通過WhatsApp與對方通訊或通話,當然也可直接發送簡訊至該電話號碼,此外,若加上國碼,也可將搜索範圍縮小至特定國家,也許是臺灣使用WhatsApp的人數不多,當加入+886進行搜索時,只出現3筆結果。
由於WhatsApp為臉書的子公司,因此Jayaram企圖通過漏洞挖掘獎勵項目聯繫臉書,但臉書則說該項目並未涵蓋WhatsApp。Jayaram在6月7日對外公開了該bug,而今日(6/8)依然可通過Google找到大量的WhatsApp用戶電話號碼。
Jayaram表示,用戶的電話號碼可能連接了加密錢包、銀行帳號或信用卡,並讓黑客有機可乘,而WhatsApp其實只要加密連接中的電話號碼,或創建robots.txt就能預防此事了。