vyhledávači Google, protože vyhledávač indexuje odkazy na konverzace, které mají být soukromé.
SOPA Images/LightRocket via Getty Images
Lidé používají aplikaci WhatsApp ke komunikaci s přáteli a rodinou, protože se snadno používá a je soukromá. Ale šifrovaná aplikace nemusí být tak soukromá, jak si myslíte.
Skupinové konverzace v aplikaci WhatsApp lze snadno najít pomocí vyhledávače Google, protože vyhledávač indexuje odkazy na konverzace, které mají být soukromé.
Podle uznávaného technologického webu Vice, který o tom informoval jako první, stačí jen rychle vyhledat na Googlu a kdokoli se může připojit k řadě chatů WhatsApp, včetně těch, které mají být soukromé.
Soukromé konverzace v aplikaci WhatsApp jsou obvykle přístupné pouze prostřednictvím zvacího kódu, který členům skupiny rozdá moderátor chatu. Tento kód je však pouhým textovým řetězcem a adresou URL a zdá se, že přinejmenším některé z nich jsou indexovány, takže je může kdokoli najít prostřednictvím Googlu.
Zda je některý z vašich soukromých chatů viditelný, můžete zjistit zadáním adresy chat.whatsapp.com a následným doplněním nějakého detailu týkajícího se skupinového chatu.
Co se stalo?
Na Twitteru včera (21. února) vydal multimediální novinář německé stanice Deutsche Welle Jordan Wildon varování: „Vaše skupiny v aplikaci WhatsApp možná nejsou tak bezpečné, jak si myslíte.“
Podrobně popsal, že funkce „Pozvat do skupiny prostřednictvím odkazu“ „umožňuje, aby skupiny byly indexovány společností Google“ a „jsou obecně dostupné na celém internetu“.
Jinými slovy, vysvětlil Wildon: „
A je to ještě horší: i když jste odkaz nesdíleli, je podle něj „možné, ale obtížné, spustit jakousi metodu hrubé síly a získat přístup k adrese URL, která odpovídá aktivnímu skupinovému chatu“.“
Známý etický hacker Jane Manchun Wong to potvrdil v pozdějším tweetu a dodal, že na Googlu lze najít 470 000 výsledků vyhledávání výrazu „chat.whatsapp.com“ – části adresy URL používané pro pozvánky do skupiny WhatsApp.
Mnoho odkazů vede na citlivá témata, jako je porno, zjistil Vice. Zběžné vyhledávání tohoto autora našlo některé podobné odkazy snadno dostupné.
Ačkoli je pravda, že některé z odkazů mají být přístupné veřejnosti, Vice také našel chaty, které odhalily telefonní čísla 48 účastníků konverzace ve skupině WhatsApp mezi něčím, co vypadalo jako nevládní organizace akreditované OSN.
S žádostí o komentář jsem se obrátil na vlastníka aplikace WhatsApp, společnosti Facebook a Google, a pokud odpoví, budu tento článek aktualizovat.
Proč se to děje?
Krátce poté, co byl tento problém vznesen, vysvětlil Danny Sullivan, který má na starosti veřejné vyhledávání ve společnosti Google, co se děje. „Vyhledávače, jako je Google a další, uvádějí stránky z otevřeného webu. To je to, co se zde děje. Nijak se to neliší od jakéhokoli jiného případu, kdy stránka umožňuje veřejné vypisování adres URL.“
Etický hacker @HackrzVijay však uvedl, že tento problém nahlásil majiteli WhatsApp, společnosti Facebook, již v listopadu a Facebook s tím nic neudělal. Ve skutečnosti jde o „záměrné produktové rozhodnutí“, uvedl Facebook, a správci skupin „mohou odkaz zneplatnit, pokud si to přejí.“
Kromě toho Facebook sice připustil, že je „překvapen“, že odkazy indexuje Google, ale prý nemůže kontrolovat, co Google indexuje.
Ale to je špatně, ne?“
Jistě to není ideální, zejména pokud používáte WhatsApp pro citlivé konverzace. Jake Moore, specialista na kybernetickou bezpečnost ve společnosti ESET, říká, že možnost tak snadno najít chaty je „naprosto děsivá“.
„Nevidím žádný přínosný důvod, proč by to kterákoli strana považovala za dobrý nápad. Pokud něco, tak to jen způsobuje, že WhatsApp vypadá méně bezpečně. Možná je to zašifrované uprostřed, ale pokud jste přijati do skupinového chatu, máte šifrovací klíč, který můžete číst dál.“
Ačkoli Moore nenašel žádný ze svých vlastních chatů, vyhledal „The Girls“ – název skupiny, jejímž členem byla jeho žena – a našel řadu dalších skupin se stejným názvem včetně konverzací týkajících se porna.
Co dělat
WhatsApp je šifrován end-to-end, ale nyní jej vlastní společnost Facebook, která na zadní straně integruje Instagram, Facebook Messenger a WhatsApp.
Po řadě datových skandálů, problémů s ochranou osobních údajů a jejich narušení mnoho lidí Facebooku nedůvěřuje, takže by mohlo mít smysl zkusit něco jiného. Moore ze společnosti ESET doporučuje používat chatovací aplikace Signal nebo Telegram, které se podle něj „více zaměřují na bezpečnost a soukromí uživatelů.“
S tím souhlasí i bezpečnostní výzkumník Sean Wright. Říká, že každý, kdo se obává o soukromí, by měl vyzkoušet Signal, „protože to nevypadá, že by s tím Facebook nebo Google hodlali něco dělat.“
Osobně dávám přednost Signalu, který přidává řadu funkcí pro spotřebitele a je superbezpečný a snadno použitelný. Záleží na tom, k čemu dokážete přesvědčit své přátele a rodinu. Třeba jim ukažte tento příběh a dohodněte se na nejlepší aplikaci pro vás všechny.
–
Aktualizace 23. února v 03:20 ET
Problém se nyní zdá být na Googlu vyřešen, což prý může být způsobeno tichou změnou, kterou provedl vlastník aplikace WhatsApp, společnost Facebook. Obě firmy jsem znovu kontaktoval s žádostí o vyjádření a další aktualizace poskytnu, jakmile je uslyším.
Problém však stále přetrvává při použití ostatních hlavních vyhledávačů a moderátoři skupin WhatsApp by měli být velmi opatrní. Jordan Wildon doporučuje přejít do nastavení skupiny, klepnout na „Pozvat do skupiny přes odkaz“ a poté na „Obnovit odkaz“.
Tím se odkaz nevypne: vygeneruje se nový, demonstroval na Twitteru.
Sledujte mě na Twitteru nebo LinkedIn.