Sono circa 300.000 i numeri di telefono associati ad altrettanti account WhatsApp di ignari utenti finiti in chiaro su Google a causa di un bug individuato nella funzione “Clicca per chattare” dell’app di messaggistica istantanea.
Lo strumento “Clicca per chattare”, in particolare, è uno dei meno conosciuti dell’app di messaggistica istantanea ma molto utilizzato dalle piccole e microimprese di tutto il mondo per connettersi con i propri clienti attraverso i siti Web aziendali. Consente, infatti, di aggiungere un pulsante nelle pagine dei siti attraverso il quale gli utenti possono avviare una conversazione con i gestori dei siti stessi tramite il servizio di messaggistica.
Ad esempio, un visitatore di un sito di e-commerce che avesse una domanda su un annuncio non dovrebbe fare altro che cliccare su questo pulsante che punta ad un link del tipo https://wa.me/numeroditelefono oppure scansionare un codice QR contenente lo stesso link per avviare una conversazione WhatsApp con il servizio clienti del sito, senza dover necessariamente registrare il contatto sulla rubrica dello smartphone.
La falla di sicurezza è stata individuata dal ricercatore di sicurezza indipendente e cacciatore di bug Athul Jayaram e potrebbe aprire la porta a ogni sorta di truffe e cyber attacchi ai danni degli intestatari dei numeri di telefono indicizzati da Google.
Si tratta, dunque, di un altro pericoloso bug scoperto a poca distanza di tempo da quello che consentiva il furto di account WhatsApp mediante finti SMS inviati da contatti presenti in rubrica.
Indice degli argomenti
Numeri di WhatsApp su Google: i dettagli del bug
Il bug è stato prontamente segnalato prima a Facebook (proprietaria di WhatsApp) nell’ambito del programma “Bug-bounty Program” che prevede una ricompensa monetaria per tutti coloro che scoprono un bug nella piattaforma di social network e successivamente agli stessi sviluppatori di WhatsApp, che però hanno risposto di essere al corrente di quella che non ritengono essere una falla di sicurezza in quanto una eventuale ricerca su Google mostrerebbe solo informazioni che gli utenti stessi hanno deciso di rendere pubbliche attraverso le pagine dei loro stessi siti Web.
In realtà, i numeri degli utenti finiti in chiaro nelle SERP (Search Engine Results Page) di Google sono stati esposti dal dominio wa.me di proprietà di WhatsApp che memorizza in una stringa di URL del tipo visto precedentemente proprio i metadati raccolti dalla funzione “Clicca per chattare”.
I gestori del dominio wa.me, infatti, non hanno previsto nella directory principale del sito alcun file di testo robots.txt contenente le regole che bloccano o consentono l’accesso di un determinato crawler (software che analizza automaticamente i contenuti di una rete, di un database o di un sito Web in genere per conto di un motore di ricerca) a un percorso di file specificato nel sito web in questione.
Questa grossolana mancanza consente proprio a Google e agli altri motori di ricerca di indicizzare tutti i contenuti che puntano a questo dominio, compreso quindi i numeri telefonici associati a WhatsApp e utilizzati mediante la funzione “Clicca per chattare” e per questo motivo i numeri di 300.000 ignari utenti sono finiti nei risultati della ricerca pubblica.
Purtroppo, come ha spiegato lo stesso Jayaram, “i numeri di cellulare sono visibili in chiaro nelle URL associate al dominio wa.me e chiunque se ne impadronisca può quindi conoscere il numero di cellulare dell’utente. E purtroppo non è possibile revocarlo”.
Inoltre, un clic sull’URL non rivela il nome dell’utente associato all’utente WhatsApp (ricordiamo che l’app identifica gli utenti in base ai numeri di telefono e non dal loro username come avviane ad esempio nelle mailbox), ma la sua immagine del profilo.
Partendo da questa, un attaccante determinato potrebbe effettuare una ricerca per immagini e raccogliere abbastanza indizi online (ad esempio sui social network) per stabilire l’identità dell’utente e sfruttare poi queste preziose informazioni per compiere truffe mirate oppure venderle a marketer, spammer e truffatori.
Un’utile funzione o un pericoloso bug?
“Anche se apprezziamo il rapporto di questo ricercatore e apprezziamo il tempo che ha impiegato per condividerlo con noi, non si è qualificato per una ricompensa in quanto conteneva semplicemente un indice di URL del motore di ricerca che gli utenti di WhatsApp hanno scelto di rendere pubblico”, è stata la risposta di WhatsApp.
“Tutti gli utenti WhatsApp, incluse le aziende, possono bloccare i messaggi indesiderati con il semplice tocco di un pulsante”.
Pur non volendo parlare di un bug, siamo tuttavia di fronte ad un possibile errore di programmazione che potrebbe avere conseguenze molto gravi anche da un punto di vista di violazione della privacy. Ricordiamo, infatti, che il numero di cellulare è ormai collegato a numerosi servizi di banking online, alle carte di credito o ai wallet di criptovalute, giusto per fare qualche esempio. I criminal hacker, potrebbero quindi sfruttare i numeri di telefono in chiaro per compiere attacchi di tipo SIM swapping o per la clonazione delle stesse schede telefoniche.
Numeri di WhatsApp su Google: ecco come scoprirlo
In attesa che il bug venga corretto o quantomeno che WhatsApp intervenga per impedire l’indicizzazione in chiaro dei numeri di telefono archiviati sul dominio wa.me, è possibile effettuare una semplice verifica per scongiurare che il nostro numero sia liberamente accessibile online:
- colleghiamoci, innanzitutto, alla home page di Google e, nella barra di ricerca, scriviamo la stringa site:wa.me seguita dal numero di telefono secondo lo schema: site:wa.me +39 123 456 7890;
- se dovesse comparire un risultato, vorrebbe dire che il numero di telefono è stato esposto online. Ovviamente, in questo caso, non ci sarebbe alcun problema di violazione della privacy qualora avessimo deciso di usare il servizio “Clicca per chattare” di WhatsApp per consentire agli utenti di contattare più facilmente noi o la nostra azienda.
