Googlen haussa, koska hakukone indeksoi linkkejä yksityisiksi tarkoitettuihin keskusteluihin.
SOPA Images/LightRocket via Getty Images
Ihmiset käyttävät WhatsAppia keskustellakseen ystäviensä ja perheensä kanssa, koska se on helppokäyttöinen ja yksityinen. Salattu sovellus ei kuitenkaan välttämättä ole niin yksityinen kuin luulet.
WhatsAppin ryhmäkeskustelut löytyvät helposti Googlen haun kautta, koska hakukone indeksoi linkit keskusteluihin, jotka on tarkoitettu yksityisiksi.
Vaatii vain nopean Google-haun, ja kuka tahansa voi liittyä erilaisiin WhatsApp-keskusteluihin, myös yksityisiksi tarkoitettuihin, kertoo arvostettu teknologiasivusto Vice, joka uutisoi asiasta ensimmäisenä.
Privaatteihin WhatsApp-keskusteluihin pääsee yleensä vain kutsukoodilla, jonka chat-moderaattori jakaa ryhmän jäsenille. Mutta tämä koodi on yksinkertaisesti merkkijono tekstiä ja URL-osoite, ja näyttää siltä, että ainakin osa näistä indeksoidaan niin, että kuka tahansa voi löytää ne Googlen kautta.
Voit nähdä, näkyykö jokin yksityisistä chateistasi kirjoittamalla chat.whatsapp.com ja lisäämällä sitten jonkin ryhmäkeskusteluun liittyvän yksityiskohdan.
Mitä tapahtui?
Twitterissä eilen (21. helmikuuta) saksalaisen Deutsche Wellen multimediatoimittaja Jordan Wildon antoi varoituksen: ”WhatsApp-ryhmät eivät ehkä ole niin turvallisia kuin luulet niiden olevan.”
Hän kertoi yksityiskohtaisesti, kuinka ”Kutsu ryhmään linkin kautta” -ominaisuus ”mahdollistaa ryhmien indeksoinnin Googlen toimesta” ja ”ne ovat yleisesti saatavilla kaikkialla internetissä”.
Muilla sanoilla, Wildon selitti: ”
Ja se menee vielä pahemmaksi: vaikka et olisi jakanut linkkiä, hän sanoi, että ”on mahdollista, mutta vaikeaa, käyttää eräänlaista brute-force-menetelmää päästäksesi käsiksi URL-osoitteeseen, joka vastaa aktiivista ryhmäkeskustelua”.”
Tunnettu eettinen hakkeri Jane Manchun Wong vahvisti tämän myöhemmässä twiitissään ja lisäsi, että Googlesta löytyy 470 000 hakutulosta termillä ”chat.whatsapp.com” – osa URL-osoitteesta, jota käytetään WhatsAppin ryhmäkutsuihin.
Monet linkit johtavat arkaluonteisiin aiheisiin, kuten pornoon, totesi Vice. Tämän kirjoittajan tekemä pintapuolinen haku löysi joitakin vastaavia linkkejä helposti saatavilla.
Vaikka on totta, että osa linkeistä on tarkoitettu yleisölle avoimiksi, Vice löysi myös keskusteluja, jotka paljastivat 48 osallistujan puhelinnumerot WhatsApp-ryhmäkeskustelussa, joka käytiin näennäisesti YK:n akkreditoimien kansalaisjärjestöjen välillä.
Olen ottanut yhteyttä WhatsAppin omistajiin Facebookiin ja Googleen kommenttia varten ja päivitän tätä juttua, jos he vastaavat.
Miksi tämä tapahtuu?
Pian asian esille tulon jälkeen Googlen julkisen haun yhteyshenkilö Danny Sullivan selitti, mistä on kyse. ”Hakukoneet, kuten Google ja muut, listaavat sivuja avoimesta verkosta. Se on se, mitä tässä tapahtuu. Se ei eroa mistään muusta tapauksesta, jossa sivusto sallii URL-osoitteiden listautumisen julkisesti.”
Mutta eettinen hakkeri @HackrzVijay sanoi, että hän oli raportoinut asiasta WhatsAppin omistajalle Facebookille jo marraskuussa, eikä Facebook ollut tehnyt asialle mitään. Itse asiassa kyse on ”tarkoituksellisesta tuotepäätöksestä”, Facebook sanoi, ja ryhmien ylläpitäjät ”voivat halutessaan mitätöidä linkin.”
Lisäksi, vaikka Facebook myönsi olevansa ”yllättynyt” siitä, että Google indeksoi linkit, se sanoi, ettei se voi kontrolloida, mitä Google indeksoi.
Mutta tämä on huono juttu, eikö?
Ei todellakaan ole ihanteellista, varsinkin jos käytät WhatsAppia arkaluontoisiin keskusteluihin. ESETin kyberturva-asiantuntija Jake Moore sanoo, että mahdollisuus löytää keskustelut näin helposti on ”täysin kauhistuttavaa.”
”En näe mitään hyödyllistä syytä, miksi mikään taho pitäisi tätä hyvänä ideana. Jos jotain, se vain saa WhatsAppin näyttämään vähemmän turvalliselta. Se voi olla salattu keskeltä, mutta jos sinut hyväksytään ryhmäkeskusteluun, sinulla on salausavain, jota voit lukea eteenpäin.”
Vaikka Moore ei löytänyt yhtään omaa keskusteluaan, hän etsi ”The Girls”-nimistä ryhmää, johon hänen vaimonsa kuului, ja löysi lukuisia muita samannimisiä ryhmiä, mukaan lukien pornoon liittyviä keskusteluja.
Mitä tehdä
WhatsApp on päästä päähän salattu, mutta sen omistaa nyt Facebook, joka integroi Instagramin, Facebook Messengerin ja WhatsAppin taustapuolella.
Jonkin tietoskandaalin, yksityisyysongelmien ja tietomurtojen jälkeen monet ihmiset eivät luota Facebookiin, joten voi olla järkevää kokeilla jotain muuta. ESETin Moore suosittelee käyttämään Signal- tai Telegram-keskustelusovelluksia, jotka hänen mukaansa ”keskittyvät enemmän käyttäjien turvallisuuteen ja yksityisyyteen.”
Turvallisuustutkija Sean Wright on samaa mieltä. Hän sanoo, että kaikkien yksityisyydestä huolestuneiden kannattaa kokeilla Signal-sovellusta, ”koska ei näytä siltä, että Facebook tai Google aikovat tehdä paljon asialle.”
Henkilökohtaisesti suosin Signal-sovellusta, joka on lisäämässä useita kuluttajaystävällisiä ominaisuuksia ja on erittäin turvallinen ja helppokäyttöinen. Kyse on siitä, mitä voit suostutella ystäväsi ja perheesi tekemään. Ehkä näyttää heille tämä juttu ja sopia teille kaikille paras sovellus.
–
Päivitys 23.2. klo 03:20 ET
Ongelma näyttäisi nyt olevan korjattu Googlella, mikä kuulemma voi johtua WhatsAppin omistajan Facebookin hiljaisesta muutoksesta. Olen ottanut yhteyttä molempiin yrityksiin uudelleen kommenttia varten ja annan lisää päivityksiä sitä mukaa, kun kuulen niitä.
Ongelma on kuitenkin edelleen olemassa, kun käytetään muita suuria hakukoneita, ja WhatsApp-ryhmien moderaattoreiden tulisi olla hyvin varovaisia. Jordan Wildon suosittelee menemään ryhmän asetuksiin, napauttamaan ”Kutsu ryhmään linkin kautta” ja sitten ”Nollaa linkki”.
Tämä ei sammuta linkkiä: se luo uuden, hän demonstroi twiitissä.
Seuraa minua Twitterissä tai LinkedInissä.