Människor använder WhatsApp för att chatta med sina vänner och sin familj eftersom det är lätt att använda och privat. Men den krypterade appen kanske inte är så privat som du tror.
WhatsApp-gruppchattar kan lätt hittas via en Google-sökning, eftersom sökmotorn indexerar länkar till samtal som är avsedda att vara privata.
Det räcker med en snabb Google-sökning för att vem som helst ska kunna gå med i en rad WhatsApp-chattar, även de som är tänkta att vara privata, enligt den ansedda tekniksajten Vice som först berättade om historien.
Privata WhatsApp-konversationer är vanligtvis endast tillgängliga via en inbjudningskod som delas ut till gruppmedlemmarna av chattledaren. Men den här koden är helt enkelt en textsträng och en webbadress, och det verkar som om åtminstone en del av dessa indexeras så att de kan hittas av vem som helst via Google.
Du kan se om några av dina privata chattar är synliga genom att skriva in chat.whatsapp.com och sedan lägga in några detaljer som rör gruppchatten.
Vad hände?
På Twitter i går (21 februari) utfärdade en multimediejournalist för den tyska kanalen Deutsche Welle, Jordan Wildon, en varning: ”
Han beskrev i detalj hur funktionen ”Bjud in till grupp via länk” ”gör det möjligt för grupper att indexeras av Google” och ”de är allmänt tillgängliga på internet”.
Med andra ord förklarade Wildon: ”Och det blir ännu värre: Även om du inte har delat länken är det enligt Wildon ”möjligt, men svårt, att köra en slags brute-force-metod för att få tillgång till en URL som motsvarar en aktiv gruppchatt”.”
Den kända etiska hackaren Jane Manchun Wong bekräftade detta i en senare tweet och tillade att 470 000 sökresultat kan hittas på Google för termen ”chat.whatsapp.com” – en del av URL:en som används för inbjudningar till WhatsApp-grupper.
Många av länkarna leder till känsliga ämnen, som till exempel porr, konstaterade Vice. En flyktig sökning av den här skribenten fann några liknande länkar som var lätt tillgängliga.
Och även om det är sant att vissa av länkarna är tänkta att vara öppna för allmänheten, hittade Vice också chattar som avslöjade telefonnummer till 48 deltagare i en WhatsApp-gruppkonversation mellan vad som verkade vara icke-statliga organisationer ackrediterade av FN.
Jag har kontaktat WhatsApp:s ägare Facebook och Google för en kommentar och kommer att uppdatera den här historien om de svarar.
Varför händer detta?
Snart efter att frågan togs upp förklarade Googles kontaktperson för offentliga sökningar Danny Sullivan vad som hände. ”Sökmotorer som Google och andra listar sidor från den öppna webben. Det är det som händer här. Det skiljer sig inte från något annat fall där en webbplats tillåter att webbadresser listas offentligt.”
Men den etiska hackaren @HackrzVijay sa att han hade rapporterat problemet till WhatsApp-ägaren Facebook redan i november, och att Facebook inte hade gjort något åt saken. I själva verket är det ett ”avsiktligt produktbeslut”, sa Facebook, och gruppadministratörer ”kan ogiltigförklara länken om så önskas.”
Och även om Facebook medgav att de var ”förvånade” över att länkarna indexeras av Google, sa de att de inte kan kontrollera vad Google indexerar.
Men det här är dåligt, eller hur?
Det är verkligen inte idealiskt, särskilt om du använder WhatsApp för känsliga konversationer. Jake Moore, cybersäkerhetsspecialist på ESET, säger att möjligheten att hitta chattar så enkelt är ”fullständigt skrämmande.”
”Jag kan inte se någon fördelaktig anledning till varför någon part skulle se detta som en bra idé. Om något gör det bara att WhatsApp framstår som mindre säkert. Det må vara krypterat i mitten, men om du accepteras i en gruppchatt har du krypteringsnyckeln för att läsa vidare.”
Och även om Moore inte hittade några av sina egna chattar, sökte han efter ”The Girls” – namnet på en grupp som hans fru var medlem i – och hittade många andra grupper med samma namn, inklusive porrrelaterade konversationer.
Vad ska man göra
WhatsApp är end-to-end-krypterat, men det ägs nu av Facebook, som integrerar Instagram, Facebook Messenger och WhatsApp på baksidan.
Efter en rad dataskandaler, integritetsproblem och överträdelser är det många som inte litar på Facebook, så det kan vara klokt att prova något annat. Moore från ESET rekommenderar att man använder chattapparna Signal eller Telegram som enligt honom ”fokuserar mer på användarnas säkerhet och integritet”
Säkerhetsforskaren Sean Wright håller med. Han säger att alla som är oroliga för integriteten bör prova Signal ”eftersom det inte ser ut som om Facebook eller Google kommer att göra mycket åt detta.”
Personligen föredrar jag Signal, som lägger till ett antal konsumentvänliga funktioner och som är supersäkert och enkelt att använda. Det handlar om vad du kan övertala dina vänner och din familj att göra. Kanske kan du visa dem den här berättelsen och komma överens om vilken app som är bäst för er alla.
–
Uppdatering 23 februari kl. 03:20 ET
Problemet verkar nu vara åtgärdat på Google, vilket jag har fått veta kan bero på en tyst förändring som gjorts av WhatsApp-ägaren Facebook. Jag har kontaktat båda företagen igen för en kommentar och kommer att ge fler uppdateringar när jag hör dem.
Problemet finns dock fortfarande kvar när man använder andra stora sökmotorer, och moderatorer för WhatsApp-grupper bör vara mycket försiktiga. Jordan Wildon rekommenderar att man går in i gruppinställningarna, trycker på ”Invite to Group via Link” och sedan ”Reset link”.
Detta stänger inte av länken: den genererar en ny, demonstrerade han i en tweet.
Följ mig på Twitter eller LinkedIn.