Un ricercatore indiano di cybersicurezza, ha scoperto che Google mostra in chiaro i numeri di cellulare di diversi utenti WhatsApp che hanno usato la funzione Clicca per chattare. WhatsApp dal canto suo ha ammesso la cosa, ma ha anche affermato che non si tratta di una falla di sicurezza, tuttavia un recente aggiornamento ha ovviato, almeno parzialmente, al problema.
Athul Jayaram, un ricercatore indiano di cybersicurezza, ha scoperto che Google mostra in chiaro i numeri di cellulare di diversi utenti WhatsApp che hanno usato la funzione Clicca per chattare. Per la popolare app di messaggistica istantanea però non si tratterebbe di una falla di sicurezza.
Partiamo dalla funzione incriminata. In pratica, Clicca per chattare consente di creare un link per avviare una conversazione con un contatto non salvato nella rubrica. I collegamenti sono generati in questo modo: http://wa.me/numeroditelefono. Il problema è che questo sistema non è protetto da crittografia, di conseguenza, il numero sarà sempre visibile.
A quanto pare, una volta inviato e condiviso il link di collegamento, questo resta nel web in quanto tali pagine non hanno nessun metatag che impedisce a qualsiasi motore di ricerca di indicizzarle. A questo punto, i numeri degli utenti che hanno utilizzato la funzione sono reperibili online con una semplice query di ricerca su Google come ad esempio site:wa.me oppure site:api.whatsapp.com. È anche possibile effettuare una ricerca per Paese inserendo il prefisso nazionale, scrivendo site:api.whatsapp.com +39.
Cliccando su un numero e aprendo la chat, vedremo il numero di telefono della persona, il nickname, la sua immagine di profiloe – in base alle impostazioni – lo stato. I potenziali utilizzi di questi dati includono messaggi di marketing da parte delle società che raccolgono i numeri, attacchi mirati tramite invio di link fraudolenti o virus, ecc.
Secondo quanto riferito da Forbes, WhatsApp ha commentato così: “il rapporto del ricercatore conteneva semplicemente degli URL che gli utenti di WhatsApp hanno scelto di rendere pubblici. Tutti gli utenti, comprese le aziende, possono bloccare i messaggi indesiderati con un semplice click su un pulsante”. Nonostante ciò, l’app di Mark Zuckeberg si è aggiornata risolvendo in parte il problema. Facendo una ricerca con site:wa.me, infatti, ora non viene più mostrato alcun numero di telefono, cosa che però accade ancora utilizzando la query site:api.whatsapp.com.