‎نقص امنیتی واتس‌اپ و افشای شماره تلفن کاربران در گوگل!

اخیرأ یک محقق امنیتی به نام Athul Jayaram، به کاربران در خصوص نقص امنیتی موجود در پیام‌رسان واتس‌اپ، موسوم به "Click to Chat" هشدار داد که با اختصاص یک QR Code به شماره تلفن کاربر، این امکان را به گوگل می‌دهد تا شماره تلفن‌ها را فهرست کند و به راحتی بتوان آن‌ها را در این موتور جستجو پیدا کرد.

به گفته‌ی وی، این نقص به سایت‌ها اجازه می‌دهد تا به سرعت مکالمات واتس‌اپ را با بازدیدکنندگان خود آغاز کنند، به طوری که بازدیدکننده سایت فقط با اسکن QR Code یا کلیک بر روی URL و بدون نیاز به وارد کردن شماره تلفن کاربر، گفتگو در واتس‌اپ را آغاز و با شروع مکالمه به شماره تلفن وی دسترسی پیدا کند.
به گفته‌ی Athul Jayaram، مشکل اینجاست که این شماره‌ تلفن‌ها به گوگل ارجاع داده می‌شوند زیرا موتور جستجو، داده‌های مربوط به "Click to Chat" را فهرست‌بندی کرده و سپس مانند الگوی زیر، شماره تلفن کاربر را در بخشی از URL فاش می‌کند:

(https://wa.me/<phone_number>)

که این مسئله به خودی خود گزینه‌ی پرسودی برای Spammerها به حساب می‌آید، زیرا آن‌ها از طریق این نقص می‌توانند به راحتی پایگاه‌داده‌‌ی ساخت‌یافته‌ای از شماره تلفن‌های کاربران ایجاد کرده و از آن‌ها برای کمپ‌های مخرب شخصی سوءاستفاده کنند.
علاوه بر این، Athul به صراحت اعلام کرد که موفق شده است تا به حدود ۳۰۰,۰۰۰ شماره تلفن معتبری که در گوگل فهرست شده‌اند، دسترسی پیدا کند. گفتنی است که اگر چه در این فهرست، صاحبان اصلی شماره تلفن ها مشخص نمی‌باشد، اما مهاجمان می‌توانند بفهمند که آن‌ها متعلق به چه کسانی هستند.

شکل ۱: نمایش شماره تلفن‌های کاربران در موتور جستجوی گوگل

اگر بر روی URL مذکور کلیک کنید، پروفایل کاربر به همراه عکس وی نمایش داده خواهد شد و مهاجم می‌تواند از طریق جستجوی این تصویر، اطلاعات کافی را در خصوص قربانی به دست آورد.
به گفته‌ی Athul Jayaram، در پی گزارش نقص امنیتی به واتس‌اپ، این شرکت آن را رد کرد و این مسئله را به عنوان یک نقص امنیتی نپذیرفت. به گفته سخنگوی واتس‌اپ، کاربران خودشان انتخاب کرده‌اند که شماره تلفن‌های خود را عمومی و فاش کنند. علاوه بر این، آن‌ها شفاف‌سازی کردند که نقص برنامه‌ی bounty، فقط پلیت‌فرم‌های Facebook را تحت پوشش خود قرار می‌دهد، و این در حالیست که واتس‌اپ تنها بخشی از آن به حساب می‌آید. به هر حال وی نظرات خود را در مورد این نقص در فضای مجازی پاک کرد و به شدت به واتس‌اپ تأکید کرد که هر چه سریع‌تر شماره تلفن‌ همه کاربران را رمزگذاری و یک فایل robots.txt را جهت جلوگیری از  تجاور ربات‌ها به دامنه‌، اضافه کند.    ‌

رفع نقص
واتس‌اپ این نقص را پس از گزارش، برطرف و آن را به صورت آنلاین فاش کرد.
به گفته‌ی سخنگوی واتس‌اپ، ویژگی "Click to Chat" در اصل به منظور کمک به کاربران به ویژه شرکت‌های کوچک در سراسر جهان که با مشتریان خود در ارتباط هستند طراحی شده است. وی افزود، ما از تلاش‌ها و وقت صرف شده توسط Athul Jayaram تشکر می‌کنیم اما چون این موضوع تنها حاوی فهرستی از URLها است که به اختیار خود کابران واتس‌اپ منتشر شده است، لذا مشمول دریافت جایزه نمی‌شود.
 تمامی کاربران واتس‌آپ می‌توانند پیام‌های ناخواسته را با فشردن یک دکمه مسدود کنند.

منبع خبر: https://gbhackers.com/whatsapp-bug-leaked-personal-phone-numbers/amp