WhatsApp示意圖,Photo by Yucel Moran on unsplash

印度獨立安全研究人員Athul Jayaram近日揭露,他發現利用Google搜尋,就可以找到2.9萬筆到3萬筆的WhatsApp用戶電話號碼,而問題則出在於WhatsApp的點擊對話(click to chat)功能。

WhatsApp雖然是以電話號碼作為註冊依據,但新增好友時不一定要提供電話號碼,而是只要掃描QR code即可。然而,WhatsApp特別替網站或商家設計的點擊對話功能,則是透過[https:]//wa.me/產生一個含有電話號碼的連結,使用者只要點選該連結,就會開啟WhatsApp,並可傳訊給對方或是與對方通話。

Jayaram指出,一來該連結並未加密,因此使用者從連結中就能看到明文的電話號碼,若是大量分享連結,曝光的範圍就更大了;二來「 https://wa.me」並未在伺服器上建立禁止Google或其它搜尋引擎索引該站內容的robots.txt 檔案,因而讓搜尋引擎得以爬梳並索引這些電話號碼。

於是,當在Google上執行特定的搜尋字串時,就會出現大量的WhatsApp電話號碼,點選相關的連結,即可透過WhatsApp與對方傳訊或通話,當然也可直接傳送簡訊至該電話號碼,此外,若加上國碼,也可將搜尋範圍縮小至特定國家,也許是台灣使用WhatsApp的人數不多,當加入+886進行搜尋時,只出現3筆結果。

由於WhatsApp為臉書的子公司,因此Jayaram企圖透過抓漏獎勵專案聯繫臉書,但臉書則說該專案並未涵蓋WhatsApp。Jayaram在6月7日對外公開了此一臭蟲,而今日(6/8)依然可透過Google找到大量的WhatsApp用戶電話號碼。

Jayaram表示,使用者的電話號碼可能連結了加密錢包、銀行帳號或信用卡,並讓駭客有機可趁,而WhatsApp其實只要加密連結中的電話號碼,或建立robots.txt就能預防此事了。


Advertisement

更多 iThome相關內容