Az emberek azért használják a WhatsAppot a barátaikkal és a családjukkal való csevegésre, mert könnyen használható és privát. De a titkosított alkalmazás nem biztos, hogy annyira privát, mint gondolnád.
A WhatsApp csoportos csevegések könnyen megtalálhatók egy Google-kereséssel, mivel a keresőmotor a privátnak szánt beszélgetések linkjeit indexeli.
Egy gyors Google-keresés elég, és bárki csatlakozhat számos WhatsApp-csevegéshez, köztük a privátnak szánt beszélgetésekhez is – írja a nagyra becsült technológiai oldal, a Vice, amely elsőként hozta nyilvánosságra a történetet.
A privát WhatsApp-beszélgetések általában csak a csevegés moderátora által a csoporttagoknak kiosztott meghívókóddal érhetők el. Ez a kód azonban egyszerűen egy szövegrészlet és egy URL, és úgy tűnik, hogy ezek közül legalább néhányat indexelnek, így bárki számára megtalálhatók a Google-on keresztül.
A chat.whatsapp.com beírásával, majd a csoportos csevegésre vonatkozó adatok megadásával megnézheti, hogy látható-e valamelyik privát csevegése.
Mi történt?
A Twitteren tegnap (február 21-én) a német Deutsche Welle multimédiás újságírója, Jordan Wildon figyelmeztetést adott ki: “A WhatsApp-csoportjai nem biztos, hogy olyan biztonságosak, mint amilyennek gondolja őket.”
Elmondta részletesen, hogy a “Meghívás csoportba linkkel” funkció “lehetővé teszi, hogy a csoportokat a Google indexelje”, és “általánosan elérhetőek az egész interneten”.
Más szóval, magyarázta Wildon: “
És ez még rosszabb lesz: még ha nem is osztottuk meg a linket, szerinte “lehetséges, de nehéz egyfajta brute-force módszerrel hozzáférni egy olyan URL-hez, amely egy aktív csoportos csevegésnek felel meg”.”
A neves etikus hacker, Jane Manchun Wong egy későbbi tweetjében megerősítette ezt, hozzátéve, hogy a Google-on 470 000 keresési eredmény található a “chat.whatsapp.com” kifejezésre – a WhatsApp csoportos meghívókhoz használt URL egy része.
A linkek közül sok érzékeny témákhoz, például pornóhoz vezet, állapította meg a Vice. Az író felületes keresése is talált néhány hasonló, könnyen elérhető linket.
Bár igaz, hogy a linkek némelyikét a nyilvánosság számára is hozzáférhetőnek szánták, a Vice olyan csevegéseket is talált, amelyek 48 résztvevő telefonszámát tárták fel egy olyan WhatsApp-csoportbeszélgetésben, amely az ENSZ által akkreditáltnak tűnő nem kormányzati szervezetek között zajlott.
Kapcsolatba léptem a WhatsApp tulajdonosával, a Facebookkal és a Google-lal, hogy kommentálják a történteket, és ha válaszolnak, frissítem a cikket.
Miért történik ez?
Nem sokkal azután, hogy a probléma felmerült, Danny Sullivan, a Google nyilvános keresési kapcsolattartója elmagyarázta, mi történik. “Az olyan keresőmotorok, mint a Google és mások a nyílt webről származó oldalakat listázzák. Ez az, ami itt történik. Ez nem más, mint bármely olyan eset, amikor egy oldal engedélyezi az URL-ek nyilvános listázását.”
A @HackrzVijay etikus hacker azonban elmondta, hogy már novemberben jelentette a problémát a WhatsApp tulajdonosának, a Facebooknak, és a Facebook nem tett semmit az ügyben. Valójában ez egy “szándékos termékdöntés”, mondta a Facebook, és a csoportadminok “érvényteleníthetik a linket, ha úgy kívánják.”
Mellett, bár a Facebook elismerte, hogy “meglepte”, hogy a linkeket a Google indexeli, azt mondta, nem tudja ellenőrizni, hogy a Google mit indexel.
De ez rossz, ugye?
Ez biztosan nem ideális, különösen, ha a WhatsAppot érzékeny beszélgetésekre használja. Jake Moore, az ESET kiberbiztonsági szakértője szerint az, hogy ilyen könnyen megtalálhatók a csevegések, “teljesen elborzasztó.”
“Nem látok olyan hasznos okot, amiért bármelyik fél ezt jó ötletnek tartaná. Ha valami, akkor ez csak kevésbé biztonságosnak tünteti fel a WhatsAppot. Lehet, hogy középen titkosítva van, de ha felvesznek egy csoportos csevegésbe, akkor nálad van a titkosítási kulcs, amivel tovább olvashatsz.”
Moore ugyan nem talált saját csevegéseket, de rákeresett a “The Girls”-re – egy olyan csoport nevére, amelynek a felesége is tagja volt – és számos más azonos nevű csoportot talált, köztük pornóval kapcsolatos beszélgetéseket.
Mi a teendő
A WhatsApp végponttól végpontig titkosított, de most már a Facebook tulajdonában van, amely a háttérben integrálja az Instagramot, a Facebook Messengert és a WhatsAppot.
Az adatbotrányok, adatvédelmi problémák és jogsértések sorozata után sokan nem bíznak a Facebookban, így érdemes lehet valami mással próbálkozni. Az ESET Moore a Signal vagy a Telegram csevegőalkalmazások használatát ajánlja, amelyek szerinte “nagyobb hangsúlyt fektetnek a felhasználók biztonságára és adatvédelmére.”
Sean Wright biztonsági kutató egyetért. Szerinte aki aggódik az adatvédelem miatt, próbálja ki a Signal-t, “mivel nem úgy tűnik, hogy a Facebook vagy a Google sokat fog tenni ez ügyben.”
Személy szerint én a Signal-t részesítem előnyben, amely számos fogyasztóbarát funkcióval bővül, szuperbiztonságos és könnyen használható. A lényeg az, hogy mire tudod rávenni a barátaidat és a családodat. Esetleg mutasd meg nekik ezt a történetet, és egyezzetek meg a mindannyiótok számára legjobb alkalmazásban.
–
Február 23-án 03:20-kor ET
A probléma mostanra úgy tűnik, hogy a Google-nél is megoldódott, ami információim szerint a WhatsApp tulajdonos Facebook csendes változtatásának köszönhető. Ismét felvettem a kapcsolatot mindkét céggel kommentárért, és további frissítéseket fogok közölni, amint hallok róluk.
A probléma azonban továbbra is fennáll a többi nagy keresőmotor használatakor, és a WhatsApp-csoportok moderátorainak nagyon óvatosnak kell lenniük. Jordan Wildon azt javasolja, hogy menjen be a csoportbeállításokba, koppintson a “Meghívás a csoportba linkkel”, majd a “Link visszaállítása” lehetőségre.
Ez nem kapcsolja ki a linket: újat generál, mutatta be egy tweetben.
Kövessen a Twitteren vagy a LinkedInen.