O WhatsApp é uma das aplicações de mensagens mais populares nos tempos atuais, portanto qualquer falha de segurança ou privacidade no mesmo pode certamente afetar um elevado numero de utilizadores.
Recentemente foi descoberto que a funcionalidade “Click to Chat” do WhatsApp pode estar também a permitir que os números de telefone dos utilizadores fiquem disponíveis para pesquisa pública, incluindo até em resultados de pesquisa do Google.
O problema foi inicialmente reportado pelo investigador de segurança Athul Jayaram, em meados de Maio deste ano. Segundo o mesmo, a funcionalidade “Click to Chat” permite que os utilizadores possam criar links ou até um QR Code para permitir a terceiros iniciarem uma conversa rápida com um determinado contacto.
O problema neste caso encontra-se na forma como os links e os códigos QR são criados. Estes são colocados sobre o formato de links como “https://wa.me/+numero_de_telefone”. O problema encontra-se no facto que todos os links criados sobre o domínio “wa.me” podem ficar visíveis aos motores de pesquisa como o Google ou o Bing – sendo indexados pelos mesmos.
Ou seja, estes links, juntamente com os números de telefone dos utilizadores, podem ficar disponíveis na Internet e à distancia de uma simples pesquisa. Um dos exemplos sobre como este sistema pode ser explorado encontra-se na possível utilização do Google para recolher números de telefone, que posteriormente podem ser utilizados para atividades de spam ou esquemas maliciosos.
Alem disso, quando se acede diretamente aos links, estes permitem iniciar conversas no WhatsApp com os contactos em questão, o que abre também as portas para o envio de spam dentro da plataforma.
Ao identificar este problema, Jayaram terá informado o Facebook da situação, o qual negou que a mesma fosse considerada uma falha de segurança – negando também o acesso ao programa de recompensas. Em comunicado ao portal Threatpost, o Facebook revela que a falha não se qualifica para o programa de recompensas, uma vez que os links criados são explicitamente desenvolvidos para serem públicos, e os utilizadores criam de livre vontade os mesmos.
Além disso, o Facebook sublinha ainda que os utilizadores podem controlar sobre de quem pretendem receber mensagens, e como tal, é possível bloquear o envio de mensagens dentro da plataforma de terceiros desconhecidos. Mas isto não resolve o problema dos números de telefone ainda estarem acessíveis pelos motores de pesquisa, e podem ser utilizados para outros esquemas externos à plataforma.
Nenhum comentário
Seja o primeiro!