wyszukiwarce Google, ponieważ wyszukiwarka indeksuje linki do rozmów, które miały być prywatne.
SOPA Images/LightRocket via Getty Images
Ludzie używają WhatsApp do czatowania z przyjaciółmi i rodziną, ponieważ jest łatwy w użyciu i prywatny. Ale zaszyfrowana aplikacja może nie być tak prywatna, jak myślisz.
Czaty grupowe WhatsApp mogą być łatwo znalezione poprzez wyszukiwanie w Google, ponieważ wyszukiwarka indeksuje linki do rozmów, które mają być prywatne.
Wszystko, czego potrzeba, to szybkie wyszukiwanie w Google i każdy może dołączyć do szeregu czatów WhatsApp, w tym tych, które miały być prywatne, zgodnie z cenionym tech site Vice, który pierwszy złamał historię.
Prywatne rozmowy WhatsApp są zazwyczaj dostępne tylko poprzez kod zaproszenia rozdawane członkom grupy przez moderatora czatu. Ale ten kod jest po prostu ciąg tekstu i adres URL, i wydaje się, że przynajmniej niektóre z nich są indeksowane tak, że są one możliwe do znalezienia przez każdego za pośrednictwem Google.
Możesz zobaczyć czy jakiekolwiek z twoich prywatnych czatów są widoczne wpisując chat.whatsapp.com a następnie dodając jakieś szczegóły odnoszące się do czatu grupowego.
Co się stało?
Na Twitterze wczoraj (21 lutego), dziennikarz multimedialny dla niemieckiego outletu Deutsche Welle, Jordan Wildon wydał ostrzeżenie: „Twoje grupy WhatsApp mogą nie być tak bezpieczne, jak myślisz, że są.”
Szczegółowo opisał, jak funkcja „Invite to Group via Link” „pozwala grupom być indeksowane przez Google” i „są one ogólnie dostępne w całym Internecie”.
Innymi słowy, Wildon wyjaśnił: „Każdy link grupowy, który jest udostępniany poza bezpiecznymi, prywatnymi wiadomościami może stosunkowo łatwo zostać znaleziony i dołączony.”
I robi się gorzej: nawet jeśli nie udostępniłeś linku, powiedział „jest możliwe, ale trudne, aby uruchomić rodzaj metody brute-force, aby uzyskać dostęp do adresu URL, który odpowiada aktywnemu czatowi grupowemu.”
Renowned etyczny haker Jane Manchun Wong potwierdził to w późniejszym tweecie, dodając, że 470 000 wyników wyszukiwania można znaleźć w Google dla terminu „chat.whatsapp.com”- sekcja adresu URL używanego do zaproszeń grupowych WhatsApp.
Wiele z linków prowadzi do wrażliwych tematów, takich jak porno, Vice znaleźć. Pobieżne wyszukiwanie przez tego pisarza znaleźć kilka podobnych linków łatwo dostępne.
Although it’s true some of the links are meant to be open to the public, Vice also found chats that exposed the phone numbers of 48 participants in a WhatsApp group conversation between what appears to be non-governmental organizations accredited by the United Nations.
Skontaktowałem się z właścicielem WhatsApp Facebook i Google o komentarz i będzie aktualizować tę historię, jeśli odpowiedzą.
Dlaczego to się dzieje?
Szybko po tym, jak kwestia została podniesiona, łącznik Google z wyszukiwaniem publicznym Danny Sullivan wyjaśnił, co się dzieje. „Wyszukiwarki takie jak Google i inne wymieniają strony z otwartej sieci. To jest to, co dzieje się tutaj. To nie różni się od każdego przypadku, gdy strona pozwala adresy URL do publicznej listy.”
Ale etyczny haker @HackrzVijay powiedział, że zgłosił problem do właściciela WhatsApp Facebook z powrotem w listopadzie, a Facebook nie zrobił nic z tym. W rzeczywistości, jest to „celowa decyzja produktu”, Facebook powiedział, a administratorzy grup „może unieważnić link, jeśli tak chcesz.”
W dodatku, choć Facebook przyznał, że był „zaskoczony”, że linki są indeksowane przez Google, powiedział, że nie może kontrolować, co Google indeksuje.
Ale to jest złe, prawda?
To na pewno nie jest idealne, zwłaszcza jeśli używasz WhatsApp do wrażliwych rozmów. Jake Moore, specjalista ds. cyberbezpieczeństwa w ESET mówi, że zdolność do znalezienia czatów tak łatwo jest „całkowicie przerażająca.”
„Nie widzę korzystnego powodu, dla którego jakakolwiek strona widziałaby to jako dobry pomysł. Jeśli cokolwiek, to tylko sprawia, że WhatsApp wydaje się mniej bezpieczny. To może być zaszyfrowane w środku, ale jeśli jesteś przyjęty do czatu grupowego, masz klucz szyfrowania, aby czytać dalej.”
Although Moore nie znalazł żadnego z jego własnych czatów, szukał „The Girls”-nazwa grupy, której członkiem była jego żona-i znalazł wiele innych grup o tej samej nazwie, w tym rozmowy związane z porno.
Co robić
WhatsApp jest szyfrowany end-to-end, ale jest teraz własnością Facebooka, który integruje Instagram, Facebook Messenger i WhatsApp na tylnym końcu.
Po serii skandali danych, problemy prywatności i naruszenia, wiele osób nie ufa Facebook, więc może to mieć sens, aby spróbować czegoś innego. ESET’s Moore zaleca korzystanie z Signal lub Telegram chat apps, które, jak mówi, „skupiają się bardziej na bezpieczeństwie użytkownika i prywatności.”
Badacz bezpieczeństwa Sean Wright zgadza się. Mówi, że każdy, kto martwi się o prywatność powinien spróbować Signal „ponieważ nie wygląda na to, że Facebook lub Google zamierzają zrobić wiele w tej sprawie.”
Osobiście, faworyzuję Signal, który dodaje szereg przyjaznych dla konsumenta funkcji i jest super bezpieczny i łatwy w użyciu. To sprowadza się do tego, co możesz przekonać swoich przyjaciół i rodzinę do zrobienia. Może pokaż im tę historię i zgodzić się na najlepszą aplikację dla wszystkich z was.
–
Update 23 lutego o 03:20 ET
The problem teraz wydaje się być ustalona na Google, który jestem powiedział może być ze względu na cichą zmianę dokonaną przez WhatsApp właściciela Facebook. Skontaktowałem się z obu firm ponownie o komentarz i zapewni więcej aktualizacji, jak je usłyszeć.
Jednakże problem nadal istnieje przy korzystaniu z innych głównych wyszukiwarek, a moderatorzy grup WhatsApp powinni być bardzo ostrożni. Jordan Wildon zaleca przejście do ustawień grupy, stukając „Zaproś do grupy przez link”, a następnie „Resetuj link”.
To nie wyłącza link: to generuje nowy, zademonstrował w tweecie.
Follow me on Twitter or LinkedIn.