WhatsApp est devenue la première application de messagerie mobile, et Facebook lui-même a essayé d’en faire plus qu’un simple outil permettant aux gens de se connecter sur Android et iOS.
La fonction “Click to Chat”, par exemple, permet à deux comptes WhatsApp de se contacter en n’utilisant rien d’autre qu’un code QR ou une URL personnalisée. Cette fonction est censée être utilisée par les entreprises pour permettre à leurs clients d’entrer en contact rapidement, mais elle ne nécessite qu’un balayage des codes QR et le lancement de la session de messagerie sans même connaître le numéro de téléphone.
Cependant, le numéro de téléphone lui-même est révélé une fois que la conversation commence, et le code QR et les URL comprennent également cette information, car sinon Click to Chat ne pourrait pas relier les deux comptes.
Et le chercheur en sécurité Athul Jayaram a découvert que c’est cette fonctionnalité qui expose les numéros de téléphone des utilisateurs, car ils pourraient un jour être indexés par Google en raison de la façon dont les codes QR sont générés.
En fait, tout cela est dû aux métadonnées qui sont incluses dans le code QR ou l’URL personnalisée et qui, comme nous l’avons dit, incluent également le numéro de téléphone. WhatsApp utilise un site public appelé wa.me pour l’ensemble du projet, et une fois que Google commence à explorer les pages hébergées sur ce domaine, il finit par vérifier tous les liens “Click to Chat” qui ont été précédemment générés en fonction des numéros de téléphone.
En gros, Google lit les numéros de téléphone et les indexe, ce qui permet à n’importe qui de découvrir un numéro de téléphone spécifique.
Comment les attaquants peuvent-ils abuser des informations exposées
Au début, cela ne semble pas être un gros problème, mais comme l’explique le chercheur dans une analyse proposée à Threatpost, les acteurs malveillants pourraient finir par pouvoir collecter beaucoup plus d’informations. Par exemple, une fois qu’ils ont trouvé le numéro de téléphone d’une personne, ils peuvent accéder à la photo de son profil sur WhatsApp, puis utiliser cette photo pour effectuer des recherches sur les médias sociaux et d’autres ressources web afin de l’associer à d’autres comptes et ainsi obtenir des détails supplémentaires.
Le chercheur dit avoir découvert quelque 300 000 numéros de téléphone WhatsApp sur Google, il a donc alerté l’entreprise détenue par Facebook-et fait partie d’un programme de prime aux bugs.
WhatsApp, d’autre part, a déclaré que les utilisateurs décident eux-mêmes s’ils veulent partager des informations.
“Bien que nous apprécions le rapport de ce chercheur et le temps qu’il a pris pour le partager avec nous, il n’a pas pu bénéficier d’une prime car il contenait simplement un index des URL que les utilisateurs de WhatsApp ont choisi de rendre public. Tous les utilisateurs de WhatsApp, y compris les entreprises, peuvent bloquer les messages indésirables en appuyant sur un bouton”, a déclaré un porte-parole de l’entreprise à la source citée.
Dans le même temps, Google affirme qu’il se contente d’indexer les pages publiques et que seuls les webmasters peuvent supprimer les URL.
