Google está indexando los números de teléfono utilizados en WhatsApp, y un investigador está preocupado de que pueda causar problemas de privacidad o ser utilizado con fines maliciosos.
A principios de este año, Bleeping Computer informó cómo los enlaces de invitación a grupos privados de aplicaciones de mensajería como WhatsApp y Telegram eran visibles en Google, permitiendo que cualquiera se uniera a los grupos.
Esta semana, el investigador de seguridad Athul Jayaram destacó un problema con los números de teléfono de contacto de "fuga" del dominio "wa.me" de WhatsApp en Google.
Según lo declarado por Jayaram y confirmado por BleepingComputer, no hay un archivo "robots.txt" en los dominios "wa.me" o "api.whatsapp.com" que indica a los motores de búsqueda que no rastreen números de teléfono en el sitio web.
Como resultado, los enlaces que comienzan con "https://wa.me/" son indexados por Google y otros motores de búsqueda y aparecen en los resultados de búsqueda.
"A medida que se filtran números de teléfono individuales, un atacante puede enviarles mensajes, llamarlos y vender sus números de teléfono a vendedores, spammers, estafadores", dijo Jayaram a Threatpost , quien reveló la historia.
Al hacer clic, estos enlaces redirigen a una página "api.whatsapp.com" que permite a un usuario "continuar chateando" con el usuario de WhatsApp.
Si bien esto podría ser un posible problema de privacidad, especialmente si los spammers pueden obtener números legítimos de WhatsApp indexados por Google y enviarle un mensaje de texto directamente a WhatsApp, esto no es necesariamente un error.
Como se lee adicionamente en BC, este tampoco es capaz de validar si un telefono es falso o no.-
Como prueba, creé el enlace falso http://wa.me/11111 usando un número de teléfono falso.Como puede ver a continuación, esto me redirigió al enlace api.whatsapp.com/send?phone=11111, como se muestra a continuación. Este enlace mostraba la misma página de destino, dando la impresión de que el número era un contacto válido de WhatsApp, incluso cuando no lo era.
Esto significa que los spammers no pueden simplemente explotar esta función para "enumerar" números legítimos de WhatsApp.
Quizás es por esa razón que Facebook había rechazado el informe de recompensa de errores presentado por Jayaram sobre el tema:
"Si bien apreciamos el informe de este investigador y valoramos el tiempo que se tomó para compartirlo con nosotros, no calificó para una recompensa ya que simplemente contenía un índice de URL de motor de búsqueda que los usuarios de WhatsApp eligieron para hacer público. Todos los usuarios de WhatsApp, incluidas las empresas, pueden bloquear mensajes no deseados con solo tocar un botón ", dijo Jayaram a Threatpost.
Además, vale la pena señalar que los directorios completos de números de teléfono legítimos, independientemente de si han tenido una cuenta de WhatsApp / Telegram, se publican en la web.
Esta práctica ha estado ocurriendo durante décadas, mucho antes de que las aplicaciones de mensajería existieran y permitieran a Google indexar los números.
