Onlangs is een privacylek ontdekt in WhatsApp, waarbij het persoonlijke mobiele nummer van een gebruiker in de zoekresultaten van Google kan verschijnen. Volgens beveiligingsonderzoeker Athul Jayaram is de kwetsbaarheid te wijten aan de Click To Chat-functie van de applicatie, die zowel in mobiele clients als in WhatsApp Web te vinden is.
ADVERTENTIE
Kortom, de functie stelt gebruikers in staat om met iemand te chatten zonder dat hun telefoonnummer in hun contacten is opgeslagen. Zolang u het nummer van de persoon kent en deze een actief WhatsApp-account heeft, kan de gebruiker de chat starten door een link te maken en te verstrekken.
Jayaran legde uit dat Google de Click To Chat-metadata indexeert, wat resulteert in het “lekken” van de persoonlijke informatie van de gebruiker, in dit geval hun telefoonnummers, in het WhatsApp wa.me-domein. “Je mobiele telefoonnummer is zichtbaar in platte tekst op deze URL en iedereen die de URL krijgt, kan je mobiele nummer kennen. Het kan niet worden ingetrokken’, zei hij tegen Threatpost.
(Afbeelding: ThreatPost)De onderzoeker voegde eraan toe dat hij via deze kwetsbaarheid tot 300.000 telefoonnummers kon verkrijgen. Het waarschuwde gebruikers ook dat deze fout zou kunnen worden uitgebuit door potentiële aanvallers of oplichters, en ook de identiteit van een persoon zou kunnen onthullen door te verwijzen naar hun WhatsApp-profiel.
Interessant is dat WhatsApp de ontdekking van Jayaram heeft ontkend en heeft verklaard dat het helemaal geen fout is. Ze legden uit dat de bevindingen van de onderzoeker een zoekmachine-index bevatten van URL’s die gebruikers hadden gekozen om openbaar te maken.
Door contact op te nemen met gebruikers van wie telefoonnummers waren “gelekt” uit de zoekresultaten van Google, ontdekte ThreatPost dat de meesten van hen heel goed weten dat hun nummers openbaar worden gemaakt en dat het een manier was om hun bedrijf te promoten. Een klein aantal gebruikers zei echter dat ze het niet wisten.
Ondertussen dringt Jayaram erop aan dat dit probleem moet worden gezien als een beveiligingsfout en raadt hij WhatsApp aan de nodige maatregelen te nemen om mogelijke risico’s te vermijden.
(Bron: ThreatPost via HotHardware)
