Bezpečnost | WhatsApp | Facebook

Telefonní čísla uživatelů WhatsAppu bylo možné najít pomocí Googlu. Je to vůbec chyba?

Komunikátor WhatsApp se potýkal s nepříjemnou vlastností: pokud uživatelé použili funkci Kliknutím zahájit chat (Click to Chat), mohlo se jejich telefonní číslo objevit ve výsledcích vyhledávání na Googlu. Touto cestou se na veřejnost dostalo až 400 tisíc telefonních čísel. Informaci přinesl server Threat Post.

Dle oficiálních stránek „Funkce Kliknutím zahájit chat umožňuje v aplikaci WhatsApp s někým zahájit konverzaci, aniž byste telefonní číslo dané osoby měli uložené v adresáři telefonu.“ Tuto možnost využívají například provozovatelé webových stránek a e-shopů, aby je mohli kontaktovat jejich návštěvníci, respektive zákazníci. Nejčastěji jsou prezentovány ve formě QR kódu, který uživatel naskenuje fotoaparátem svého telefonu.

Záludné odkazy

Jádro pudla je skryté v tom, že odkazy generované touto funkcí mají tvar https://wa.me/420XXXXXXXXX (případně může následovat text výchozí zprávy). Vyhledávače tyto odkazy pochopitelně indexují a telefonní čísla se tak mohla objevit (a reálně se objevovala) ve výsledcích – stačilo jen zadat dotaz ve formátu site:wa.me "420".

„Vaše telefonní číslo je v URL viditelné jako prostý text a kdokoli, kdo tuto adresu získá, z ní zjistí vaše číslo,“ vysvětluje „lovec chyb“ Athul Jayaram. „Na získaná telefonní čísla může útočník posílat zprávy, volat jim, prodávat je obchodníkům, spammerům a podvodníkům.“

Při hledání v rámci domény wa.me pomocí Googlu našel Jayaram více než 400 tisíc veřejně dostupných čísel. Po klepnutí na odkaz se sice neukazovalo jméno uživatele, ale odhalil se profilový obrázek jeho účtu na WhatsAppu.

Expert na bezpečnost upozorňuje, že tento obrázek je pak možné zkusit reverzně hledat pomocí Googlu v naději, že přinese další vodítka pro zjištění skutečné identity uživatele. Většina lidí přitom používá na všech sociálních sítích stejnou profilovou fotku.

Je to chyba, nebo ne?

Jayaram oznámil zjištěný problém Facebooku 23. května. Jeho hlášení však bylo zamítnuto s tím, že uživatelé WhatsApp mají plnou kontrolu nad informacemi spojenými s jejich profilem a mají přehled o tom, které údaje jsou veřejně přístupné.

„I když si ceníme zprávy tohoto odborníka a vážíme si času, který obětoval, aby se s námi podělil, nekvalifikoval se na odměnu, protože poskytl pouze URL adresy, které se uživatelé WhatsAppu rozhodli zveřejnit,“ uvedl mluvčí WhatsAppu s tím, že „Všichni uživatelé WhatsApp, včetně firem, mohou blokovat nežádoucí zprávy klepnutím na tlačítko.“

Jayaram je však přesvědčen, že by firma měla zveřejnění čísel brát vážněji, vzhledem k možném rozsahu útoků, které by to mohlo odstartovat. Dle jeho mínění se jedná o „bezpečnostní chybu a problém ochrany osobních údajů“.

Bez ohledu na to, že odpověď na otázku, zda se jedná o chybu, záleží především na úhlu pohledu, zareagoval Facebook tím, že zablokoval prohledávání domény wa.me. Ve výsledcích vyhledávání se tak telefonní čísla již neobjevují.

Diskuze (8) Další článek: Nejlepší univerzity pro rok 2021: Vládne MIT a v Česku Karlova univerzita

Témata článku: Google, Bezpečnost, Chat, WhatsApp, Facebook, Instant Messaging, Odkaz, Chyba, Click, Číslo, Telefonní číslo, Uživatelé


Určitě si přečtěte

Apple má šanci definitivně se uzamknout. macOS byl na jeho poměry až příliš otevřený

Apple má šanci definitivně se uzamknout. macOS byl na jeho poměry až příliš otevřený

** Apple, vývojáře i uživatele rozhodně nečekají dva roky prázdnin ** macOS se může uzavřít podobně jako iOS a iPadOS ** Přechod na Arm znamená stopku pro hackintoshe

Lukáš Václavík | 102

Otestovali jsme nový Apple MacBook Air. S retinou a nižší cenou

Otestovali jsme nový Apple MacBook Air. S retinou a nižší cenou

** Test MacBooku Air v provedení pro rok 2020 ** Cenově dostupný notebook překvapí výkonem ** Výborné je celkové zpracování a klávesnice

Martin Miksa | 43

Nejlepší programy z roku 2000: Podívejte se, bez čeho jste tehdy vůbec nemohli fungovat!

Nejlepší programy z roku 2000: Podívejte se, bez čeho jste tehdy vůbec nemohli fungovat!

** Dnes už skoro všechno uděláte ve webovém prohlížeči a na mobilu ** Před dvaceti lety to ale bylo jiné ** Zavzpomínejte na legendy, které jste pravděpodobně také používali

Jakub Čížek | 123

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co šíleného se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 1

Na měsíc jsem opustil Google a potupně se zase vrátil zpět (komentář)

Na měsíc jsem opustil Google a potupně se zase vrátil zpět (komentář)

** Zkusil jsem se zbavit závislosti na vyhledávači od Googlu ** Jako alternativy posloužily Bing, Seznam a DuckDuckGo ** Mají své silné stránky, ale i nepřekonatelná negativa

Lukáš Václavík | 54


Aktuální číslo časopisu Computer

Megatest SSD s kapacitou 1 TB

Srovnávací test robotických vysavačů

Vybíráme nejlepší telefony na trhu

Jak zlepšit zvuk televize