12 июня 2020 
adminGWP 
Oснoвнoй причинoй пoпулярнoсти мeссeнджeрa WhatsApp являeтся пoвышeнный урoвeнь кoнфидeнциaльнoсти ― зa счeт примeнeния тexнoлoгии сквoзнoгo шифрoвaния сooбщeний. A учитывaя скoлькo людeй испoльзуют дaнный сeрвис мгнoвeнныx сooбщeний (бoлee 2 миллиaрдoв чeлoвeк в бoлee чeм 180 стрaнax), oбнaрoдoвaниe свeжиx брeшeй бeзoпaснoсти в пoпулярнoм прилoжeнии выглядит дoвoльнo вoпиющe. И нa дняx ИБ-спeциaлисты нaшли кaк рaз такую небезукоризненность в WhatsApp, связанную с функцией приложения «click to chat».
«Функция «click to chat» в WhatsApp позволяет вас начать общение с кем-нибудь, хоть если его номера телефона в помине (заводе) нет в адресной книге вашего телефона. В противном случае вы узнаете номер телефона сего человека и у него есть активная учетная уравнение WhatsApp, вы можете заронить семя ссылку, которая позволит вас начать общение с ним. Присутствие нажатии на ссылку непроизвольно открывается чат с этим человеком. Чат открывается что в приложении WhatsApp на вашем телефоне, в среднем и в интернет-версии», ― объясняет нам WhatsApp.
Владельцы веб-сайтов могут пустить в дело эту функцию, создавая QR-шифр, связанный с их номером телефона, и размещая шифр на своем сайте ради посетителей (чтобы начать сообщение с ними). Посетитель, даже никак не вводя номер телефона, может просматривать QR-код или нажать в URL-ссылку, чтобы начать чата в WhatsApp.
Изыскатель безопасности Атул Джаярам (Athul Jayaram) предупреждает, как будто с этой возможностью WhatsApp лупить проблема: таким образом телефонные заезжий дом «утекают» через процедуру индексации сайтов поисковой системой Google. Основное проблемы, по словам Джаярама, заключается в томишко, что поисковые системы индексируют метаданные в ссылках wa.me, в которых содержатся заезжий двор мобильных телефонов пользователей. «Телефонный выпуск вашего мобильного виден в виде обычного текста в этом URL-адресе, и уместно любой, кто получит посещение к ссылке, может его вызнать. И вы не можете с сим ничего поделать», ― сообщает ИБ-мастер.
Джаяран говорит, что таким образом ему посчастливилось найти порядка 300 000 телефонных номеров WhatsApp. Спирт также предупреждает, что такая маза позволяет злоумышленникам отправлять фэйковые сведения, или осуществлять продажу телефонных номеров спамерам и мошенникам. Кроме хуже то, что немножко покопавшись, можно раскрыть индивидуальность человека, посмотрев фотографию его профиля в WhatsApp. «Открыв контур WhatsApp они могут беречь фотографию пользователя и потом путем поиск изображений находить его учетные склерозник в социальных сетях и узнать стократ больше о [целевом человеке]», ― добавил Джаярам.
Знаток пытался получить вознаграждение следовать найденную уязвимость от Facebook, который-нибудь владеет WhatsApp, но ему было отказано, потому как что служба мгновенных сообщений имеет свою собственную баунти-программу. Да WhatsApp также отказал Джаяраму, заявив, точно это не баг. «Хотя автор этих строк и ценим отчёт этого исследователя и ценим досуг, которое он потратил, с тем поделиться им с нами, некто не может претендовать получай вознаграждение: потому что его отзыв просто содержал поисковую выдачу с URL-адресами, которые пользователи WhatsApp самочки решили опубликовать. Все пользователи WhatsApp, в том числе и компании, могут блокировать нежелательные сведения одним нажатием кнопки», ― говорится в сообщении WhatsApp.
Вопреки на то, что Джаярам маловыгодный получил своё вознаграждение, возлюбленный твёрдо убеждён в том, что-нибудь это уязвимость в безопасности, и в книга, что в WhatsApp должны во хмелю меры, чтобы её уволить.
Источник
Рубрика: