Bug WhatsApp – Fuites de numéros d’utilisateurs dans la recherche Google !!!

300.000, est le nombre de numéros de téléphone issus depuis WhatsApp ayant été retrouvés libres d’accès sur Google au cours de ces derniers jours.

Un chercheur a découvert que les numéros de téléphone liés aux comptes WhatsApp sont indexés publiquement sur Google Search, créant ce qu’il prétend être un « problème de vie privée » pour les utilisateurs.

MISE À JOUR

Un chercheur met en garde contre le fait qu’une fonctionnalité de WhatsApp appelée « Click to Chat » met en danger les numéros de téléphone portable des utilisateurs – en permettant à Google Search de les indexer pour que tout le monde puisse les trouver. Mais le propriétaire de WhatsApp, Facebook, affirme que ce n’est pas grave et que les résultats de la recherche ne révèlent que ce que les utilisateurs ont choisi de rendre public de toute façon.

Le chasseur de primes Athul Jayaram, qui a découvert le problème, qualifie les numéros de téléphone de « fuites » et qualifie la situation de bogue de sécurité qui met en danger la vie privée des utilisateurs de WhatsApp.

Click to Chat offre aux sites web un moyen facile de lancer une session de chat WhatsApp avec les visiteurs du site. Il fonctionne en associant une image de code de réponse rapide (QR) (créée via des services tiers) au numéro de téléphone portable WhatsApp d’un propriétaire de site. Cela permet à un visiteur de scanner le code QR du site ou de cliquer sur une URL pour lancer une session de chat WhatsApp – sans que le visiteur n’ait à composer le numéro lui-même. Le visiteur a cependant toujours accès au numéro de téléphone une fois l’appel lancé.

Le problème, explique M. Jayaram, est que ces numéros de téléphone portable peuvent également apparaître dans les résultats de recherche Google, car les moteurs de recherche indexent les métadonnées de Click to Chat. Les numéros de téléphone sont révélés comme faisant partie d’une chaîne URL (https://wa.me/<nombre_de_téléphone>) et donc, selon le chercheur, cela « fait fuir » les numéros de téléphone portable des utilisateurs de WhatsApp en texte clair.

Le domaine « wa.me » est détenu et géré par WhatsApp, selon les données du WHOIS.

« Votre numéro de téléphone portable est visible en texte clair dans cette URL, et toute personne qui met la main sur l’URL peut connaître votre numéro de téléphone portable. Vous ne pouvez pas le révoquer », a déclaré Jayaram, dans une recherche partagée exclusivement avec Threatpost, vendredi.

Il affirme que cela permet aux spammeurs de compiler plus facilement des numéros de téléphone légitimes pour monter des campagnes. En utilisant une chaîne de recherche spécialement conçue pour le domaine https://wa.me/, le chercheur a déclaré avoir trouvé que Google indexait 300 000 numéros de téléphone WhatsApp.

Jayaram soutient que, pour cette raison, le « Click to Chat » présente un problème de sécurité important qui pourrait conduire à des abus et des fraudes.

« Lorsque des numéros de téléphone individuels sont divulgués, un attaquant peut leur envoyer des messages, les appeler, vendre leurs numéros de téléphone à des spécialistes du marketing, des spammeurs, des escrocs », dit-il.

Parce que WhatsApp identifie les utilisateurs par des numéros de téléphone (par opposition aux noms d’utilisateur ou aux identifiants d’email), Google Search ne révèle que les numéros de téléphone et non l’identité des utilisateurs auxquels ils sont connectés, a expliqué M. Jayaram. Toutefois, le chercheur a déclaré qu’il était également en mesure de voir les photos de profil des utilisateurs sur WhatsApp avec leurs numéros de téléphone, simplement en cliquant sur les URL des numéros de téléphone de Google Search, ce qui l’a amené à leurs profils WhatsApp. Ensuite, un hacker déterminé pouvait faire une recherche inversée sur la photo de profil de l’utilisateur dans l’espoir de recueillir suffisamment d’indices pour établir l’identité de l’utilisateur.

« Grâce au profil WhatsApp, il peut voir la photo de profil de l’utilisateur et effectuer une recherche d’image inversée pour trouver ses autres comptes de médias sociaux et en découvrir beaucoup plus sur [une personne ciblée] « , a-t-il déclaré à Threatpost.

Selon M. Jayaram, associer un numéro de téléphone à un nom et à une adresse pourrait être un point de départ puissant pour un voleur d’identité. « La plupart des utilisateurs utilisent la même photo de profil sur d’autres comptes de médias sociaux, les profils des utilisateurs peuvent également être facilement découverts », a-t-il déclaré.

Pour sa part, WhatsApp décrit Click to Chat comme un avantage pratique, permettant aux utilisateurs de commencer une conversation avec quelqu’un sans que leur numéro de téléphone soit enregistré dans le carnet d’adresses de leur téléphone.

WhatsApp-numbers-in-Google-Search

 

« Notre fonction Click to Chat, qui permet aux utilisateurs de créer une URL avec leur numéro de téléphone afin que tout le monde puisse facilement leur envoyer un message, est largement utilisée par les petites et micro-entreprises du monde entier pour se connecter avec leurs clients », a déclaré un porte-parole de WhatsApp à Threatpost.

Dans un Tweetdu mardi, Jayaram a déclaré qu’un « correctif » pour le domaine http://wa.me a été publié et que les numéros de téléphone ne sont plus consultables.

Fonctionnalité ou bug ?

Le chercheur soutient que de nombreux utilisateurs de Click to Chat ne savent pas que leurs numéros de téléphone sont stockés en texte clair, indexés par Google Search et accessibles par une requête de recherche relativement simple.

Il a déclaré à Threatpost que les utilisateurs qu’il a contactés s’étaient inquiétés du fait que leurs numéros de téléphone étaient disponibles en ligne et indexés par Google Search.

Threatpost a également contacté plusieurs utilisateurs de WhatsApp dont les numéros étaient indexés par Google Search – certains savaient que leur numéro était public – et l’avaient fait de cette manière pour promouvoir leur entreprise ou leur contact personnel en ligne.

« Mon numéro de téléphone est public sur le web. Pas besoin d’impliquer WhatsApp », a déclaré un utilisateur à Threatpost, expliquant que « Click to Chat » était pratique et facilitait la tâche des visiteurs de son site. « Je l’ai fait pour que les gens puissent me contacter facilement. Étonnamment, je reçois très peu d’appels de spam », a-t-il déclaré.

Cependant, d’autres personnes ne savaient pas que leur numéro était public.

« Non, je ne voulais pas du tout rendre mon numéro public », a déclaré un utilisateur à Threatpost. « J’ai configuré WhatsApp pour mon entreprise afin que les gens puissent envoyer des SMS directement sans avoir mon numéro ».

Rejeté pour Bug Bounty

Après avoir découvert le problème le 23 mai, Jayaram a déclaré qu’il avait contacté le propriétaire de WhatsApp, Facebook, à propos du problème via son programme de prime aux bogues. Cependant, Facebook lui a répondu en disant que l’abus de données n’est couvert que pour les plateformes Facebook, et non pour WhatsApp. Un porte-parole de WhatsApp a par ailleurs déclaré à Threatpost que WhatsApp faisait partie du programme de primes pour les abus de données.

« Bien que nous apprécions le rapport de ce chercheur et le temps qu’il a pris pour le partager avec nous, il n’a pas pu bénéficier d’une prime car il contenait simplement un index des URL que les utilisateurs de WhatsApp ont choisi de rendre public. Tous les utilisateurs de WhatsApp, y compris les entreprises, peuvent bloquer les messages indésirables en appuyant sur un bouton », a-t-il déclaré.

Ancien problème, nouvelles plaintes

Les index de recherche de Google ont également été au cœur d’un pépin de WhatsApp découvert plus tôt cette année, après qu’un journaliste de DW News a découvert que les liens d’invitation pour les groupes de WhatsApp étaient indexés par le moteur de recherche de Google. Cela signifie que si des liens vers des groupes privés existaient n’importe où sur Internet, n’importe qui pourrait potentiellement les trouver et rejoindre un groupe WhatsApp avec une recherche rapide sur Google. Des centaines de milliers de groupes étaient potentiellement accessibles de cette manière.

A l’époque, Danny Sullivan, agent de liaison public pour Google Search, a déclaré sur Twitter que la situation « n’est pas différente de tous les cas où un site permet aux URL d’être répertoriés publiquement », mais a déclaré que Google offre des outils permettant aux sites de bloquer le contenu qui est répertorié.

Un porte-parole de Google a déclaré à Threatpost qu’en ce qui concerne la recherche Google, ce que Sullivan a dit est toujours vrai. Selon Google, ce dernier et d’autres moteurs de recherche indexent les pages qui sont disponibles sur le web ouvert. Google ne peut pas supprimer les URL du web (seuls les webmasters peuvent le faire), donc même si quelque chose est supprimé des résultats de Google, il peut toujours apparaître dans les résultats des autres moteurs de recherche.

Jayaram a recommandé que WhatsApp crypte les numéros de téléphone portable des utilisateurs et ajoute un fichier robots.txt pour empêcher les robots d’explorer leur domaine.

« Malheureusement, ils ne l’ont pas encore fait, et votre vie privée peut être en jeu », a-t-il déclaré. « Aujourd’hui, votre numéro de téléphone portable est lié à vos portefeuilles Bitcoin, Adhaar, vos comptes bancaires, UPI, cartes de crédit… [permettant] à un attaquant d’effectuer des attaques de clonage et d’échange de cartes SIM en connaissant votre numéro de téléphone portable est une autre possibilité ».

Finalement, le problème a été résolu et que les numéros de téléphone ne sont plus consultables.

 

Laisser un commentaire