WhatsApp svela in chiaro il numero di 300.000 utenti su Google. La causa un bug importante?

Un ricercatore sta avvertendo il colosso di Mountain View, Google, perché tramite una funzione di WhatsApp chiamata "Click to Chat" si metterebbero a rischio i numeri di cellulare degli utenti, consentendo tramite la classica Ricerca Google di indicizzarli affinché chiunque possa trovarli in ''chiaro''. Da WhatsApp però si afferma che non è un grosso problema anzi i risultati della ricerca rivelano solo ciò che gli utenti hanno scelto di rendere pubblico.

WhatsApp: mancanza di privacy o bug del sistema?

Athul Jayaram ha scoperto un problema che sembra affliggere WhatsApp e i suoi utenti che utilizzano appunto il sistema per messaggiare con amici e parenti. In questo caso infatti il problema risulterebbe quello di avere in ''chiaro'' i numeri di telefono degli utenti WhatsApp che utilizzano la funzione ''Click to Chat'', un bug di sicurezza che mette a rischio la privacy di questi utenti.

Ricordiamo che ''Click to Chat'' offre ai siti Web un modo semplice per avviare una sessione di chat di WhatsApp con i naviganti del sito. Funziona associando un'immagine di codice Quick Response (QR) (creata tramite servizi di terze parti) al numero di cellulare WhatsApp del proprietario del sito. Ciò consente a un visitatore di scansionare il codice QR del sito o fare clic su un URL per avviare una sessione di chat di WhatsApp, senza che il visitatore debba comporre il numero stesso. Tuttavia, quel visitatore ottiene comunque l'accesso al numero di telefono una volta avviata la chiamata.

Il problema starebbe nel fatto che quei numeri di cellulare degli utenti che visitano il sito ed usano il sistema possono anche apparire nei risultati di ricerca di Google. I numeri di telefono vengono rivelati come parte di una stringa URL ( https://wa.me/ < phone_number >). Il dominio "wa.me" è di proprietà e gestito da WhatsApp dunque la colpa di tutto questo potrebbe essere riconducibile proprio a WhatsApp.

"Il tuo numero di cellulare è visibile in chiaro in questo URL e chiunque sia in possesso dell'URL può conoscere il tuo numero di cellulare. Non puoi revocarlo", ha dichiarato Jayaram, in una ricerca condivisa esclusivamente con Threatpost.

In questo modo è palese che il sistema rende più facile per gli spammer compilare numeri di telefono legittimi per creare campagne pubblicitarie e non solo. Utilizzando una stringa di ricerca appositamente predisposta del dominio https://wa.me/, il ricercatore ha dichiarato di aver scoperto addirittura l'indicizzazione di oltre 300.000 numeri di telefono WhatsApp di ignari utenti. Click to Chat dunque, secondo Jayaram, presenta un importante problema di sicurezza che potrebbe causare abusi e frodi.

Dopo aver scoperto il problema, Jayaram ha dichiarato di aver contattato Facebook tramite il suo programma di bug bounty. Tuttavia, la stessa Facebook gli ha risposto affermando che l'abuso di dati è coperto solo per le piattaforme di Facebook e non per WhatsApp. Peccato che un portavoce di WhatsApp stessa ha invece dichiarato a Threatpost che anche WhatsApp fa parte del programma di ricompensa dell'abuso di dati. Insomma una vicenda che non sembra risulta poi troppo trasparente.

Di fatto WhatsApp ha ritenuto giusto di voler rilasciare alcune parole in merito che riportiamo:  

“La nostra funzione Click to Chat, che permette agli utenti di creare un URL con il proprio numero di telefono in modo che chiunque possa facilmente inviare loro messaggi, è largamente usata da piccole e micro imprese nel mondo per connettersi con i propri clienti.

Sebbene abbiamo apprezzato il report e il tempo che il ricercatore ha impiegato per condividerlo con noi, non è stata tuttavia prevista una ricompensa perché il report contiene semplicemente un indice, ricavato da un motore di ricerca, degli URLs che gli utenti di WhatsApp hanno deciso di rendere pubblici. Tutti gli utenti di WhatsApp, incluse le aziende, hanno la possibilità di bloccare i messaggi indesiderati semplicemente con un tasto.”