谷歌正在索引Whatsapp上使用的电话号码,一位研究人员担心这可能会导致隐私问题或恶意目的。
今年早些时候,Bleeping computer报道了如何在谷歌上看到与whatsapp、telegram等私人短信应用组的邀请链接,让任何人加入这些组。
本周,安全研究员AthulJayaram强调了Whatsapp的问题,瓦米的“域名”泄露了谷歌的联系电话号码。
瓦米do ** in属于Whatsapp,用于主持点击聊天链接,该链接“允许您开始与某人聊天,而不必将其电话号码保存在手机通讯簿中。
如Jayaram所述,并经Bleping计算机确认,没有robots.txt文件“文件打开”瓦米“或”api.whatsapp.com网站“指示搜索引擎不要在网站上抓取电话号码的域。
因此,它始于网站/“谷歌和其他搜索引擎索引并出现在搜索结果中。
Jayaram告诉Threatpost,Threatpost透露了这一消息:“由于个别电话号码被泄露,攻击者可以向营销人员、垃圾邮件发送者和骗子发送电话号码。”。
单击时,这些链接重新定位为“api.whatsapp.com网站允许用户“继续与Whatsapp用户聊天”页面。
虽然这可能是一个潜在的隐私问题,特别是如果垃圾邮件发送者可以获得谷歌索引的合法Whats应用程序号码,并直接在Whats应用程序上发送短信,这不一定是一个错误。
假使用假电话号码链接是我创建的。
如下所示,这将我重新定向api.whatsapp.com/发送?电话=11111链接,如下所示。这个链接显示相同的登录页面,给人的印象是这个号码是一个有效的Whatsapp联系人,即使不是。
点击聊天链接假Whatsapp
这意味着垃圾邮件发送者不能简单地使用此功能“列出”合法的Whatsapp号码。
也许正是因为这个原因,Facebook拒绝了贾亚拉姆就这个问题提交的bug奖励报告:
“虽然我们非常欣赏研究人员的报告,也非常重视他与我们分享报告的时间,但它不符合获得奖金的条件,因为它只包含一个搜索引擎的网站索引,Whats应用程序用户选择公开它。所有Whats应用程序用户,包括企业用户,都可以单击一个按钮来屏蔽不必要的信息。
此外,值得注意的是,无论是否有Whatsapp/Telegram账户,合法电话号码的整个目录都发布在网络上。
直到新闻应用程序出现并允许谷歌索引这些数字,这种做法才持续了几十年。
因此,仅仅在网上发布一个电话号码就不会自动链接到个人识别信息或密码。
Jayaram仍然认为,公开索引电话号码可能会带来安全风险或隐私风险,因为我们的许多在线服务都与我们的电话号码有关。
研究人员建议Whatsapp使用robotssapp.在他们的域内,txt文件文件可以防止谷歌抓取这些结果,并加密用户的手机号码。
“不幸的是,他们还没有这样做,你的隐私可能会受到威胁,”他说。“今天,你的手机号码和你的比特币钱包,”贾亚拉姆说Adhaar、银行账户、UPI、信用卡连接…[允许]攻击者通过了解您的手机号码来执行SIM卡交换和克隆攻击。
目前还不完全清楚在这种情况下“加密”手机号码是什么意思,但可能是随机字符串混淆了号码,比如这个小网站,它会重定向Bleeping计算机。
不幸的是,此时此刻,Whatsapp并没有提供让您的电话号码私有化的方法。
那些担心它被编入索引的人应该来自谷歌 Voice或其他类似服务获取虚拟电话号码。
[参考资料来源:bleepingcomputer】