Folk bruger WhatsApp til at chatte med deres venner og familie, fordi det er nemt at bruge og privat. Men den krypterede app er måske ikke så privat, som du tror.
WhatsApp-gruppechats kan nemt findes via en Google-søgning, fordi søgemaskinen indekserer links til samtaler, der er beregnet til at være private.
Det kræver blot en hurtig Google-søgning, og alle kan deltage i en række WhatsApp-chats, herunder dem, der er beregnet til at være private, ifølge det ansete teknologisite Vice, der først bragte historien.
Private WhatsApp-samtaler er normalt kun tilgængelige via en invitationskode, der udleveres til gruppemedlemmer af chat-moderatoren. Men denne kode er blot en tekststreng og en URL, og det ser ud til, at i det mindste nogle af disse bliver indekseret, så de kan findes af alle via Google.
Du kan se, om nogle af dine private chats er synlige ved at skrive chat.whatsapp.com og derefter tilføje nogle detaljer vedrørende gruppechatten.
Hvad skete der?
På Twitter i går (21. februar) udsendte en multimediejournalist for den tyske tv-station Deutsche Welle, Jordan Wildon, en advarsel: “
Han beskrev detaljeret, hvordan funktionen “Invite to Group via Link” “gør det muligt for grupper at blive indekseret af Google”, og “de er generelt tilgængelige på hele internettet”.
Med andre ord, forklarede Wildon: “Og det bliver værre: Selv hvis du ikke har delt linket, sagde han, at “det er muligt, men vanskeligt, at køre en slags brute-force-metode for at få adgang til en URL, der svarer til en aktiv gruppechat”.”
Den anerkendte etiske hacker Jane Manchun Wong bekræftede dette i et senere tweet og tilføjede, at der kan findes 470.000 søgeresultater på Google for udtrykket “chat.whatsapp.com” – en del af den URL, der bruges til WhatsApp-gruppeinvitationer.
Mange af linkene fører til følsomme emner som f.eks. porno, fandt Vice. En overfladisk søgning foretaget af denne skribent fandt nogle lignende links, der var let tilgængelige.
Selv om det er rigtigt, at nogle af linkene er beregnet til at være åbne for offentligheden, fandt Vice også chats, der afslørede telefonnumrene på 48 deltagere i en WhatsApp-gruppesamtale mellem, hvad der så ud til at være ikke-statslige organisationer, der er akkrediteret af De Forenede Nationer.
Jeg har kontaktet WhatsApp’s ejer Facebook og Google for at få en kommentar og vil opdatere denne historie, hvis de svarer.
Hvorfor sker det her?
Snart efter, at spørgsmålet blev rejst, forklarede Googles kontaktperson for offentlige søgninger Danny Sullivan, hvad der skete. “Søgemaskiner som Google og andre opfører sider fra det åbne web. Det er det, der sker her. Det er ikke anderledes end ethvert tilfælde, hvor et websted tillader URL’er at blive opført offentligt.”
Men den etiske hacker @HackrzVijay sagde, at han havde rapporteret problemet til WhatsApp-ejer Facebook tilbage i november, og at Facebook ikke havde gjort noget ved det. Faktisk er det en “bevidst produktbeslutning”, sagde Facebook, og gruppeadministratorer “kan ugyldiggøre linket, hvis de ønsker det.”
Og selv om Facebook indrømmede, at det var “overrasket” over, at linksene indekseres af Google, sagde det desuden, at det ikke kan kontrollere, hvad Google indekserer.
Men det er da ikke godt, vel?
Det er bestemt ikke ideelt, især hvis du bruger WhatsApp til følsomme samtaler. Jake Moore, cybersikkerhedsspecialist hos ESET, siger, at muligheden for at finde chats så let er “fuldstændig forfærdelig.”
“Jeg kan ikke se en gavnlig grund til, hvorfor nogen part ville se dette som en god idé. Hvis der er noget, får det WhatsApp bare til at virke mindre sikkert. Det kan godt være, at det er krypteret i midten, men hvis du bliver accepteret i en gruppechat, har du krypteringsnøglen til at læse videre.”
Og selv om Moore ikke fandt nogen af sine egne chats, søgte han efter “The Girls” – navnet på en gruppe, som hans kone var medlem af – og fandt adskillige andre grupper med samme navn, herunder pornorelaterede samtaler.
Hvad skal man gøre
WhatsApp er end-to-end-krypteret, men det er nu ejet af Facebook, som integrerer Instagram, Facebook Messenger og WhatsApp i den bageste ende.
Efter en lang række dataskandaler, privatlivsproblemer og brud på persondatasikkerheden er der mange mennesker, der ikke stoler på Facebook, så det kan give mening at prøve noget andet. ESET’s Moore anbefaler at bruge Signal eller Telegram chat-apps, som, siger han, “fokuserer mere på brugernes sikkerhed og privatlivets fred.”
Sikkerhedsforsker Sean Wright er enig. Han siger, at alle, der er bekymrede for privatlivets fred, bør prøve Signal, “da det ikke ser ud til, at Facebook eller Google vil gøre meget ved dette.”
Personligt foretrækker jeg Signal, som tilføjer en række forbrugervenlige funktioner og er supersikkert og nemt at bruge. Det kommer an på, hvad du kan overtale dine venner og familie til at gøre. Måske kan du vise dem denne historie og blive enige om, hvilken app der er bedst for jer alle.
–
Opdatering 23. februar kl. 03:20 ET
Problemet ser nu ud til at være løst på Google, hvilket jeg har fået at vide kan skyldes en stille ændring foretaget af WhatsApp-ejer Facebook. Jeg har kontaktet begge firmaer igen for at få en kommentar og vil give flere opdateringer, når jeg hører dem.
Problemet er dog stadig til stede, når man bruger andre store søgemaskiner, og WhatsApp-gruppemoderatorer bør være meget forsigtige. Jordan Wildon anbefaler, at man går ind i gruppeindstillingerne, trykker på “Invite to Group via Link” og derefter på “Reset link”.
Dette slår ikke linket fra: det genererer et nyt, demonstrerede han i et tweet.
Følg mig på Twitter eller LinkedIn.