في الآونة الأخيرة ، حذر عالم أمني من خطر أمني قدمه WhatsApp
شخص توصيل معروف باسم "Snap to Chat" وتسمح هذه السعة لـ Google بتسجيل أرقام هواتف العملاء ، ويمكن العثور على جميع الأرقام التي يطلبها أي شخص دون أي امتداد كبير في أداة بحث الويب.
قال المتخصص الأمني ، الذي أعلن عن العيب الأمني "Snap to Chat" ، السيد Athul Jayaram ، أن هذا النقص يسمح للمواطنين ببدء مناقشات WhatsApp بسرعة مع ضيوفهم.
لتوضيح ذلك ، فإن الفائدة والعمل الكبير من خلال تعيين رمز الاستجابة السريعة لرقم هاتف مالك الأصول.
هنا يطلب ضيف الموقع فقط تصفية رمز الاستجابة السريعة أو الخاطف على عنوان URL ، وسيبدأ التبادل في WhatsApp. بالإضافة إلى ذلك ، لا يوجد سبب مقنع لإدخال رقم هاتف ، ولكن عند بدء المناقشة ، يمكن للعميل الوصول إليه على أي حال.
"هنا تكمن المشكلة في أن هذه الأرقام في تلك المرحلة تذهب إلى Google ، حيث يقوم زاحف الويب بتقديم البيانات الوصفية لـ" Click to Chat "يتم تذكر رقم الهاتف بعد ذلك لسلسلة عنوان URL (https://wa.me/ <phone_number>) ، والتي تثير انشغاله ،" كما أشار عالم الأمن ، جايارام أثول.
لتوضيح الأمر بوضوح ، فهو أحد البدائل المفيدة لمرسلي البريد العشوائي ، لأن هذا الضعف سيسمح لهم بإنشاء قواعد بيانات فعالة لأرقام هواتف فريدة لاستخدامها في معاركهم الضارة.
بالإضافة إلى ذلك ، أعرب أثول بوضوح عن أنه اكتشف كيفية العثور على حوالي 300000 رقم هاتف شرعي من زاحف الويب ، حيث تم تسجيله في تلك المرحلة على Google.
على الرغم من حقيقة أن أرقام الهاتف لا ترتبط بأسماء أصحابها ، إلا أن المعتدين هنا يمكنهم بالفعل معرفة من لديهم مكان.
في حالة النقر فوق عنوان URL برقم هاتف في قوائم Google المفهرسة ، يفتح الملف الشخصي للعميل مع الصورة. يمكن للمهاجم استخدام البحث عن الصور وجمع معلومات كافية عن الضحايا المحتملين.
رفض WhatsApp هذا الخطأ لـ Bug Bounty
أخبر عالم الأمن ، Athul Jayaram ، WhatsApp فيما يتعلق بوحيه ، لكن المنظمة رفضت صراحة الكشف عنه باعتباره عيبًا أمنيًا. وفقًا لممثل WhatsApp ، هنا ، يقرر العملاء أنفسهم فتح أرقام هواتفهم.
علاوة على ذلك ، فقد أوضحوا أيضا أن برنامج bugty bounty يغطي منصات Facebook فقط ، في حين أن WhatsApp ليس سوى جزء منه. بصرف النظر عن هذا ، إليك ما قاله الوسيط العام في Google ، داني سوليفان فى معالج Twitter:
في حالة النقر فوق عنوان URL برقم هاتف في قوائم Google المفهرسة ، يفتح الملف الشخصي للعميل مع الصورة. يمكن للمهاجم استخدام البحث عن الصور وجمع معلومات كافية عن الضحايا المحتملين.
رفض WhatsApp هذا الخطأ لـ Bug Bounty
أخبر عالم الأمن ، Athul Jayaram ، WhatsApp فيما يتعلق بوحيه ، لكن المنظمة رفضت صراحة الكشف عنه باعتباره عيبًا أمنيًا. وفقًا لممثل WhatsApp ، هنا ، يقرر العملاء أنفسهم فتح أرقام هواتفهم.