Xakep #305. Многошаговые SQL-инъекции
ИБ-специалист Атул Джаярам обратил внимание, что один из доменов WhatsApp (wa.me) «сливает» телефонные номера пользователей, позволяя Google их индексировать.
Домен wa.me действительно принадлежит мессенджеру WhatsApp и используется для размещения специальных ссылок типа click to chat, после нажатия на которые можно начать чат с кем-то, чьего номера телефона нет в контактах.
Исследователь объясняет, что у доменов wa.me и api.whatsapp.com нет файла robots.txt, который объяснял бы поисковым системам, что не нужно сканировать телефонные номера на сайте. В результате ссылки, начинающиеся с «https://wa.me/», индексируются Google и другими поисковыми системами и появляются в результатах поиска. При нажатии такие ссылки человека перенаправляют на api.whatsapp.com, где он может продолжить чат с пользователем WhatsApp.
«По мере того, как телефонные номера “утекают”, злоумышленник может отправлять на них сообщения, звонить, продать эти телефонные номера маркетологам, спамерам и мошенникам», — рассказал Джаярам журналистам издания Threatpost.
В свою очередь, издание Bleeping Computer отмечает, что обнаруженная исследователем странность, это вовсе не обязательно ошибка. Так, для теста журналисты создали фейковую ссылку http://wa.me/11111, используя поддельный номер телефона. Как можно видеть на иллюстрации ниже, эта ссылка перенаправляет на api.whatsapp.com/send?phone=11111 и в итоге приводит на ту же самую целевую страницу, создавая впечатление, будто номер является активным WhatsApp-контактом, даже если это не так.
То есть спаммеры не могут просто использовать эту функцию для перебора настоящих номеров WhatsApp. Возможно, именно по этой причине Facebook отклонила запрос исследователя на получение вознаграждения по программе bug bounty.
Также журналисты Bleeping Computer отмечают, что в сети данным давно доступны целые каталоги телефонных номеров, чьи владельцы никогда не имели учетных записей в WhatsApp и других мессендждерах, а Google никогда их не индексировал.
Тем не менее, Джаярам по-прежнему убежден, что такая «утечка» телефонных номеров может представлять угрозу безопасности и конфиденциальности пользователей мессенджера. Он рекомендует инженерам WhatsApp использовать файл robots.txt для своих доменов, не позволяя Google индексировать номера телефонов.
«К сожалению, они еще не сделали этого, и ваша конфиденциальность может быть поставлена на карту. Сегодня ваш номер мобильного телефона связан с вашими Bitcoin-кошельками, Adhaar, банковскими счетами, UPI, кредитными картами… Еще одна возможность для злоумышленника, который знает ваш номер телефона, это атаки по обмену и клонированию SIM-карты», — говорит исследователь.