في الآونة الأخيرة ، حذر عالم أمني من خطر أمني قدمه WhatsApp
شخص توصيل معروف باسم "Snap to Chat" وتسمح هذه السعة لـ Google بتسجيل أرقام هواتف العملاء ، ويمكن العثور على جميع الأرقام التي يطلبها أي شخص دون أي امتداد كبير في أداة بحث الويب.
قال المتخصص الأمني ، الذي أعلن عن العيب الأمني "Snap to Chat" ، السيد Athul Jayaram ، أن هذا النقص يسمح للمواطنين ببدء مناقشات WhatsApp بسرعة مع ضيوفهم.
لتوضيح ذلك ، فإن الفائدة والعمل الكبير من خلال تعيين رمز الاستجابة السريعة لرقم هاتف مالك الأصول.
هنا يطلب ضيف الموقع فقط تصفية رمز الاستجابة السريعة أو الخاطف على عنوان URL ، وسيبدأ التبادل في WhatsApp. بالإضافة إلى ذلك ، لا يوجد سبب مقنع لإدخال رقم هاتف ، ولكن عند بدء المناقشة ، يمكن للعميل الوصول إليه على أي حال.
"هنا تكمن المشكلة في أن هذه الأرقام في تلك المرحلة تذهب إلى Google ، حيث يقوم زاحف الويب بتقديم البيانات الوصفية لـ" Click to Chat "يتم تذكر رقم الهاتف بعد ذلك لسلسلة عنوان URL (https://wa.me/ <phone_number>) ، والتي تثير انشغاله ،" كما أشار عالم الأمن ، جايارام أثول.
لتوضيح الأمر بوضوح ، فهو أحد البدائل المفيدة لمرسلي البريد العشوائي ، لأن هذا الضعف سيسمح لهم بإنشاء قواعد بيانات فعالة لأرقام هواتف فريدة لاستخدامها في معاركهم الضارة.
بالإضافة إلى ذلك ، أعرب أثول بوضوح عن أنه اكتشف كيفية العثور على حوالي 300000 رقم هاتف شرعي من زاحف الويب ، حيث تم تسجيله في تلك المرحلة على Google.
على الرغم من حقيقة أن أرقام الهاتف لا ترتبط بأسماء أصحابها ، إلا أن المعتدين هنا يمكنهم بالفعل معرفة من لديهم مكان.
في حالة النقر فوق عنوان URL برقم هاتف في قوائم Google المفهرسة ، يفتح الملف الشخصي للعميل مع الصورة. يمكن للمهاجم استخدام البحث عن الصور وجمع معلومات كافية عن الضحايا المحتملين.
رفض WhatsApp هذا الخطأ لـ Bug Bounty
أخبر عالم الأمن ، Athul Jayaram ، WhatsApp فيما يتعلق بوحيه ، لكن المنظمة رفضت صراحة الكشف عنه باعتباره عيبًا أمنيًا. وفقًا لممثل WhatsApp ، هنا ، يقرر العملاء أنفسهم فتح أرقام هواتفهم.
علاوة على ذلك ، فقد أوضحوا أيضا أن برنامج bugty bounty يغطي منصات Facebook فقط ، في حين أن WhatsApp ليس سوى جزء منه. بصرف النظر عن هذا ، إليك ما قاله الوسيط العام في Google ، داني سوليفان فى معالج Twitter:
New: Google is letting anyone find invite links to some private WhatsApp groups. Here is one we joined that is supposed to be for United Nations NGOs judging by its description. Can see members and get numbers vice.com/en_us/article/…
Search engines like Google & others list pages from the open web. That’s what’s happening here. It’s no different than any case where a site allows URLs to be publicly listed. We do offer tools allowing sites to block content being listed in our results: support.google.com/webmasters/ans…
في حالة النقر فوق عنوان URL برقم هاتف في قوائم Google المفهرسة ، يفتح الملف الشخصي للعميل مع الصورة. يمكن للمهاجم استخدام البحث عن الصور وجمع معلومات كافية عن الضحايا المحتملين.
رفض WhatsApp هذا الخطأ لـ Bug Bounty
أخبر عالم الأمن ، Athul Jayaram ، WhatsApp فيما يتعلق بوحيه ، لكن المنظمة رفضت صراحة الكشف عنه باعتباره عيبًا أمنيًا. وفقًا لممثل WhatsApp ، هنا ، يقرر العملاء أنفسهم فتح أرقام هواتفهم.