Уязвимость WhatsApp позволяет присоединиться к групповым чатам любому пользователю Интернета
Пользователь Twitter обнаружил уязвимость, позволяющую любому пользователю Интернета присоединиться к любому групповому чату WhatsApp.
Motherboard сообщает, что приглашения в групповые чаты WhatsApp индексируются в поисковой системе Google, в связи с чем ссылки на приглашения, в том числе на приватные групповые чаты, обнаруживаются и становятся доступными для всех, кто хочет присоединиться.
Журналист Джордан Вильдон сообщает об этом в своем Твиттере, он обнаружил, что функция WhatsApp "Пригласить в групповую ссылку" ("Invite to Group link") позволяет индексировать такие группы Google, делая их доступными в общем поиске в Интернете, так как ссылки распространяются за пределы безопасной службы личных сообщений WhatsApp.
Журналисты Motherboard cмогли найти частные группы, используя конкретный Google поиск (и результаты включали много групп порно-обмена). После того, как они присоединились к группе, предназначенной для НГО, аккредитованных ООН, был получен доступ ко всем учасникам группы и их телефонным номерам.
Администраторы группы могут сделать недействительной ссылку на чат, если они этого захотят, но Вильдон говорит, что обнаружил, что в таких ситуациях WhatsApp генерирует только новую ссылку; и это не обязательно отключает исходную ссылку.
Журналисты связались с Google и родительской компанией WhatsApp Facebook, чтобы подтвердить, является ли эта уязвимость преднамеренным поведением или каким-то программным сбоем. Пока официальных комментариев по этому вопросу не поступило.
В последние месяцы WhatsApp, часто испытывал проблемы с безопасностью. Так, в 2018-м через приложение WhatsApp был взломан смартфон Джеффа Безоса. Расследованием инцидента занимается ФБР. В мае прошлого года обнаруженная в приложении уязвимость использовалась для внедрения шпионских программ на телефоны Android и iOS при помощи телефонного звонка.
Напомним, что на прошлой неделе число пользователей популярного мессенджера достигло 2 млрд.
По материалам: Motherboard и The Verge.
