Un ricercatore di sicurezza ha scoperto che i numeri di telefono collegati agli account WhatsApp sono visualizzati nelle SERP di Google. Il problema è dovuto alla funzionalità “Click to Chat”, ma secondo Facebook non si tratta di una vulnerabilità. Per questo motivo, l’azienda di Menlo Park non ha premiato il ricercatore con la somma di denaro prevista dal programma Bug Bounty.
WhatsApp: Clicca per chattare
La funzionalità “Clicca per chattare” permette di iniziare una conversazione con una persona anche se il suo numero di telefono non è in rubrica. Ad esempio su alcuni siti web viene pubblicato un codice QR che nasconde il numero. Quando l’utente inquadra il codice viene mostrato il link https://wa.me/<numero>. Un clic o tap sul link apre una pagina con il pulsante che permette di avviare la conversazione.
Il ricercatore Athul Jayaram ha scoperto che il numero di telefono viene mostrato in chiaro nella URL e nei risultati di ricerca di Google. La funzionalità potrebbe essere sfruttata per mettere in atto campagne di spam e truffe o per vendere i numeri al miglior offerente. Google non svela l’identità degli utenti, ma in alcuni casi è possibile trovare l’immagine del profilo di WhatsApp abbinato al numero. Dato che la stessa immagine viene spesso utilizzata per diversi account social, un malintenzionato potrebbe raccogliere ulteriori dettagli e rubare l’identità delle ignari vittime.
Facebook ha dichiarato che non si tratta di un bug, ma di una funzionalità perché Google indicizza solo i numeri di telefono che gli utenti hanno deciso di rendere pubblici. Il ricercatore suggerisce a WhatsApp di offuscare i numeri di telefono o inserire il dominio https://wa.me/ nel file robots.txt.
Aggiornamento del 9 giugno 2020: WhatsApp ha il risolto il problema, informando i web crawler di non indicizzare i link.