Обновлено 10.06: WhatsApp закрыл уязвимость.
Эксперт в области информационной безопасности Атхул Джаярам обнаружил, что в поисковой выдаче Google можно без труда найти номера телефонов и фрагменты переписок пользователей WhatsApp.
Это произошло из-за функции click to chat, которая позволяет быстро начать переписку через короткую ссылку «wa.me/<номер телефона», не имея собеседника в контактах. Разработчики месенджера хранят данные и номера телефонов в незашифрованном виде, как обычный текст, поэтому они индексируются поисковиком.
Атхул смог найти порядка 300 000 телефонных номеров в Google, в некоторых случаях прямо в поиске отобразилась часть последнего отправленного сообщения. Таким образом, злоумышленники могут собрать базу данных пользователей мессенджера и использовать номера, например, для рассылки спама.
Представители WhatsApp в ответ на найденную уязвимость заявили, что не видят в этом серьезной проблемы и предложили пользователям, чей номер засветился в Google, просто блокировать нежелательных собеседников.
При этом поисковик предлагает инструменты, позволяющие не отображать определенный контент в выдаче — разработчикам мессенджера достаточно добавить лишь одну строку кода, но по какой-то причине они этого не сделали. Ранее похожая ситуация произошла и с групповыми чатами — в сети оказалось более 470 тысяч ссылок, с помощью которых можно присоединиться к беседам чужих пользователей.