Google está indexando números de WhatsApp y eso significa problemas de privacidad
Google está indexando los números de teléfono utilizados en WhatsApp. Por ello, un investigador está preocupado de que pueda causar problemas de privacidad o ser utilizado con fines maliciosos.
A principios de este año, nos enteramos cómo los enlaces de invitación a grupos privados de aplicaciones de mensajería como WhatsApp y Telegram eran visibles en Google. Esto permitía que cualquiera se uniera a los grupos.
Esta semana, el investigador de seguridad Athul Jayaram destacó un problema. Este problema está relacionado con el dominio de WhatsApp “wa.me” el cual está “filtrando” números de teléfonos de contacto en Google.
El dominio ‘wa.me’ es propiedad de WhatsApp y se utiliza para alojar enlaces de “hacer clic para chatear”. Este “te permite iniciar una conversación con alguien sin tener su número de teléfono guardado en la libreta de direcciones de tu teléfono”.
Según lo declarado por Jayaram y confirmado, no hay un archivo “robots.txt” en los dominios “wa.me” o “api.whatsapp.com”. Por lo tanto, no hay nada que indique a los motores de búsqueda que no rastreen números de teléfono en el sitio web.
Consecuencias
Como resultado, los enlaces que comienzan con “https://wa.me/” son indexados por Google y otros motores de búsqueda y aparecen en los resultados de búsqueda.
“A medida que se filtran números de teléfono individuales, un atacante puede enviarles mensajes, llamarlos y vender sus números de teléfono a vendedores, spammers, estafadores”. Esto según dijo Jayaram
Al hacer clic, estos enlaces redirigen a una página “api.whatsapp.com” que permite a un usuario “continuar chateando” con el usuario de WhatsApp.
Esto podría ser un posible problema de privacidad. Especialmente si los spammers pueden obtener números legítimos de WhatsApp indexados por Google. Posteriormente pueden enviarle un mensaje de texto directamente a WhatsApp, esto no es necesariamente un error.
Como prueba, creé el enlace falso http://wa.me/11111 usando un número de teléfono falso.
Como puedes ver a continuación, esto me redirigió al enlace api.whatsapp.com/send?phone=11111, como se muestra a continuación. Este enlace mostraba la misma página de destino. Esto daba la impresión de que el número era un contacto válido de WhatsApp, incluso cuando no lo era.
Esto significa que los spammers no pueden simplemente explotar esta función para “enumerar” números legítimos de WhatsApp.
Quizás es por esa razón que Facebook había rechazado el informe de recompensa de errores presentado por Jayaram sobre el tema:
“Si bien apreciamos el informe de este investigador y valoramos el tiempo que se tomó para compartirlo con nosotros, no calificó para una recompensa. La razón es que simplemente contenía un índice de URL de motor de búsqueda que los usuarios de WhatsApp eligieron para hacer público. Todos los usuarios de WhatsApp, incluidas las empresas, pueden bloquear mensajes no deseados con solo tocar un botón “, dijo Jayaram a Threatpost.
No es un “problema grave”
Además, vale la pena señalar que los directorios completos de números de teléfono legítimos, independientemente de si han tenido una cuenta de WhatsApp/Telegram, se publican en la web.
Esta práctica ha estado ocurriendo durante décadas, mucho antes de que las aplicaciones de mensajería existieran y permitieran a Google indexar los números.
Por lo tanto, publicar un mero número de teléfono en la web no se vincula automáticamente con información de identificación personal o contraseñas.
Jayaram todavía siente que la indexación pública de los números de teléfono puede ser un riesgo de seguridad o de privacidad. El motivo, según él es que muchos de nuestros servicios en línea están vinculados a nuestros números de teléfono.
El investigador recomienda que WhatsApp use un archivo robots.txt en sus dominios. Con esta medida evitaría que Google rastree estos resultados, y también para cifrar los números móviles de los usuarios.
“Desafortunadamente aún no lo hicieron, y tu privacidad puede estar en juego”, dijo. “Hoy, tu número de teléfono móvil está vinculado a tus billeteras de Bitcoin, cuentas bancarias, redes sociales, tarjetas de crédito, etc. Esto permite que un atacante realice intercambios de tarjetas SIM y ataques de clonación sabiendo que tu número de teléfono móvil es otra posibilidad”.
No está del todo claro qué se entiende por “cifrar” números móviles en este contexto, pero podría ser ofuscar los números con cadenas aleatorias.
Desafortunadamente, en este momento, WhatsApp no proporciona una manera de hacer que tu número de teléfono sea privado.
Aquellos a quienes les preocupa ser indexados deben obtener un número de teléfono virtual de Google Voice u otro servicio similar.
