8 jun. 2020

Google indexa teléfonos de WhatsApp

Google está indexando los números de teléfono usados en Whatsapp, y un investigador de seguridad está preocupado de que pueda causar problemas de privacidad para los usuarios o que sean usados para fines maliciosos.

Este año, Bleeping Computer reportó como los enlaces de invitación a grupos privados de apps de mensajería como Telegram o Whatsapp eran visibles en Google, permitiendo a cualquiera unirse a esos grupos.

Esta semana, el investigador de seguridad Athul Jayaram remarcó una incidencia con los enlaces de Whatsapp con dominio wa.me, que "filtraban" números de teléfono en Google. El dominio wa.me es propiedad de Whatsapp y se usa para hostear enlaces de chat directo tras clicar en ellos, permitiendo así empezar una conversación con alguien sin tener su número de teléfono guardado en la agenda de contactos del teléfono.

Como dijo Jayaram y confirmó BleepingComputer, no hay ningún robots.txt en el dominio wa.me o api.whatsapp.com que les diga a los robots de los buscadores de dominio que no deben indexar los números de teléfono de ese sitio web. Como resultado, los enlaces que empiezan por wa.me son indexados por Google y otros buscadores, y aparecen en sus resultados de busqueda.

El investigador afirma que habría entre 29.000 y 300.000 números de teléfono filtrados en Google en texto plano. Aunque el investigador menciona Estados Unidos, Reino Unido o India como principales países afectados, también hay otros muchos afectados, entre los que se encuentra España. Cuando se clican estos links, nos redirige a api.whatsapp.com permitiendo así a un usuario "continuar el chat" con el usuario de Whatsapp.

Mientras que esto puede ser un fallo potencial de la privacidad de la propia aplicación, especialmente si los spammers pueden obtener números legitimos de usuarios de Whatsapp que sean indexados por Google y hablarte directamente en Whatsapp, ya que no se considera una vulnerabilidad por parte de Facebook.

También hay que recordar, que hay miles de sitios web en Google que tienen un directorio de números legítimos, tengan una cuenta de Whatsapp/Telegram o no, y que están publicados en Internet.

Si buscamos site:wa.me "+", aparecen unos 254.000 resultados con números de teléfono de todo el mundo. Y si filtramos con site:wa.me "+34", entonces encontramos 850 resultados de números de teléfono de España que se han filtrado. El investigador que lo ha descubierto dice que muchos números son de empresa, pero como podemos ver en los resultados, hay muchos de particulares; y algunos relacionados con contenido erótico, ya que en el enlace generado puede escribirse un mensaje.

Desafortunadamente, la indexación publica de números de teléfono puede ser un riesgo para la privacidad o seguridad, ya que muchos de los servicios online a los que se acceden normalmente, nos piden vincular un numero de teléfono, y esto puede dar a lugar a ataques de SIM-swapping.

En este momento, Whatsapp sigue sin proporcionar ninguna forma de hacer privado tu número de teléfono.

Fuente: BleepingComputer

1 comentario:

  1. Por lo menos en google.com.ar no encuentra nada de ese dominio wa.me

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!