Nutzer der Click-to-Chat-Funktion von WhatsApp könnten ihre persönlichen Telefonnummern in den öffentlichen Google-Suchergebnisse sehen, so eine neue Entdeckung eines Sicherheitsforschers.
Click to Chat ist eine weniger bekannte WhatsApp-Funktion, die es Website-Besuchern ermöglicht, über den Messaging-Dienst mit Website-Betreibern in Kontakt zu treten. Wenn ein Besucher einer E-Commerce-Website beispielsweise eine Anfrage zu einem Listing hat, kann er einen QR-Code scannen, der eine WhatsApp-Konversation mit dem zuständigen Kundensupport startet.
Laut dem Forscher und Bug Bounty Hunter Athul Jayaram kann jedoch durch das Nutzen dieses Features die Telefonnummer des Users in den Suchergebnissen veröffentlicht werden - was Betrügereien und Cyberangriffen* aller Art Tür und Tor öffnet.
Datenschutz bei WhatsApp
Die Messaging-Plattform WhatsApp ist für ihre hohen Datenschutzstandards* bekannt und bietet allen Nutzern eine End-to-End-Verschlüsselung. Diese jüngste Entdeckung deutet jedoch darauf hin, dass persönliche Daten möglicherweise nicht so privat sind, wie die User glauben.
Die Nummern der Nutzer werden durch die WhatsApp-eigene Domäne "wa.me" offengelegt, die Click to Chat-Metadaten in einer URL-Zeichenfolge speichert (z. B. https://wa.me/<WhatsApp-Nummer>). Da es keine Maßnahme gibt, um Suchmaschinen daran zu hindern, diese Metadaten zu indizieren, sickern die Nummern in der Tat in öffentliche Suchergebnisse durch.
"Deine Handynummer ist in dieser URL im Klartext sichtbar, und jeder, der in den Besitz der URL gelangt, kann deine Handynummer kennen. Du kannst sie nicht widerrufen", erklärte Jayaram.
"Wenn einzelne Telefonnummern durch ein Leak durchgesickert sind, kann ein Angreifer ihnen eine Nachricht schicken, sie anrufen und ihre Telefonnummern an Werbetreibende, Spammer und Betrüger verkaufen", erklärte Jayaram.
Bei der Durchsuchung der Domain mithilfe der Google Suche deckte Jayaram Berichten zufolge 300.000 WhatsApp-Nummern auf, die über diesen Mechanismus veröffentlicht wurden. Wenn man sich auf die Webseite durchklickt, wird zwar nicht der vollständige Name des Nutzers, jedoch sein WhatsApp-Profilbild angezeigt.
Nachdem Jayaram die Entdeckung am 23. Mai gemacht hatte, meldete er das Problem anschließend dem WhatsApp-Eigentümer Facebook über sein Bug-Bounty-Schema.
Der Antrag wurde jedoch mit der Begründung abgelehnt, dass WhatsApp-User die volle Kontrolle über die Informationen haben, die ihrem Profil beigefügt sind und öffentlich zugänglich gemacht werden.
"Obwohl wir für den Bericht dieses Forschers dankbar sind und die Zeit schätzen, die er aufwendete, um ihn uns mitzuteilen, kam er nicht zur Freigabe in Frage, da er lediglich einen Suchmaschinenindex mit URLs enthielt, die WhatsApp-User zur Veröffentlichung ausgewählt haben", sagte ein WhatsApp-Sprecher.
"Alle WhatsApp-Nutzer, einschließlich Unternehmen, können unerwünschte Nachrichten mit einem Tastendruck blockieren."
Jayaram ist jedoch der Meinung, dass das Unternehmen die Offenlegung aufgrund des Umfangs der Angriffe, die das Problem erleichtern könnte, ernster nehmen sollte.
"Heute ist deine Handynummer mit deinen Bitcoin Wallets, Adhaar, Bankkonten, UPI, Kreditkarten und mehr verbunden ... und erlaubt es einem Angreifer, SIM-Karten zu tauschen und eine weitere Möglichkeit ist das Durchführen von Klon-Angriffen.", sagte er.
Via Threatpost
* Link englischsprachig
