Google indexa teléfonos de WhatsApp
Google está indexando los números de teléfono usados en Whatsapp, y un
investigador de seguridad está preocupado de que pueda causar problemas de
privacidad para los usuarios o que sean usados para fines maliciosos.
Este año, Bleeping Computer reportó como los enlaces de invitación a grupos privados de apps de mensajería como Telegram o Whatsapp eran visibles en Google, permitiendo a cualquiera unirse a esos grupos.
Esta semana, el investigador de seguridad Athul Jayaram remarcó una incidencia con los enlaces de Whatsapp con dominio wa.me, que "filtraban" números de teléfono en Google. El dominio wa.me es propiedad de Whatsapp y se usa para hostear enlaces de chat directo tras clicar en ellos, permitiendo así empezar una conversación con alguien sin tener su número de teléfono guardado en la agenda de contactos del teléfono.
El investigador afirma que habría entre 29.000 y 300.000 números de teléfono filtrados en Google en texto plano. Aunque el investigador menciona Estados Unidos, Reino Unido o India como principales países afectados, también hay otros muchos afectados, entre los que se encuentra España. Cuando
se clican estos links, nos redirige a api.whatsapp.com permitiendo así a
un usuario "continuar el chat" con el usuario de Whatsapp.
Mientras que esto puede ser un fallo potencial de la privacidad de la propia aplicación, especialmente si los spammers pueden obtener números legitimos de usuarios de Whatsapp que sean indexados por Google y hablarte directamente en Whatsapp, ya que no se considera una vulnerabilidad por parte de Facebook.
Desafortunadamente, la indexación publica de
números de teléfono puede ser un riesgo para la privacidad o seguridad, ya que
muchos de los servicios online a los que se acceden normalmente, nos piden
vincular un numero de teléfono, y esto puede dar a lugar a ataques de
SIM-swapping.
En este momento, Whatsapp sigue sin proporcionar ninguna forma de hacer privado tu número de teléfono.
Fuente: BleepingComputer
Este año, Bleeping Computer reportó como los enlaces de invitación a grupos privados de apps de mensajería como Telegram o Whatsapp eran visibles en Google, permitiendo a cualquiera unirse a esos grupos.
Esta semana, el investigador de seguridad Athul Jayaram remarcó una incidencia con los enlaces de Whatsapp con dominio wa.me, que "filtraban" números de teléfono en Google. El dominio wa.me es propiedad de Whatsapp y se usa para hostear enlaces de chat directo tras clicar en ellos, permitiendo así empezar una conversación con alguien sin tener su número de teléfono guardado en la agenda de contactos del teléfono.
Como dijo
Jayaram y confirmó BleepingComputer, no hay ningún robots.txt en el
dominio wa.me o api.whatsapp.com que les diga a los robots de los
buscadores de dominio que no deben indexar los números de teléfono de ese sitio
web. Como resultado, los enlaces que empiezan por wa.me son indexados por
Google y otros buscadores, y aparecen en sus resultados de busqueda.
Mientras que esto puede ser un fallo potencial de la privacidad de la propia aplicación, especialmente si los spammers pueden obtener números legitimos de usuarios de Whatsapp que sean indexados por Google y hablarte directamente en Whatsapp, ya que no se considera una vulnerabilidad por parte de Facebook.
También
hay que recordar, que hay miles de sitios web en Google que tienen un directorio
de números legítimos, tengan una cuenta de Whatsapp/Telegram o no, y que están
publicados en Internet.
Si buscamos site:wa.me "+", aparecen unos 254.000 resultados con números de teléfono de todo el mundo. Y si filtramos con site:wa.me "+34", entonces encontramos 850 resultados de números de teléfono de España que se han filtrado. El investigador que lo ha descubierto dice que muchos números son de empresa, pero como podemos ver en los resultados, hay muchos de particulares; y algunos relacionados con contenido erótico, ya que en el enlace generado puede escribirse un mensaje.
En este momento, Whatsapp sigue sin proporcionar ninguna forma de hacer privado tu número de teléfono.
Fuente: BleepingComputer
Por lo menos en google.com.ar no encuentra nada de ese dominio wa.me
ResponderBorrar