ThreatPost ha reso pubblico un report del ricercatore di sicurezza Athul Jayaram, che ha scoperto come su Google siano presenti e indicizzati più di 300.000 numeri di telefono appartenenti ad altrettanti utenti WhatsApp, sollevando seri problemi relativi alla privacy ma anche proccupazione conseguente al rischio di utilizzo a fini illegali.

Siamo di fronte all'ennesimo problema di privacy in pochissimo tempo per la popolarissima app: ad inizio anno da più parti era stato segnalato il problema che i link di invito ai gruppi privati, sia su WhatsApp che su Telegram, erano visibili e indicizzati su Google. In breve chiunque, con una breve ricerca sul più usato motore di ricerca al mondo, poteva accedere a gruppi privati. Pochi giorni dopo le segnalazioni, WhatsApp aveva proceduto a risolvere il problema ma di nuovo l'indicizzazione dei contenuti di Google torna ad insidiare la privacy degli utenti.

Il problema sollevato negli scorsi giorni si lega alla funzione Click to Chat: in dettaglio WhatsApp usa il dominio "wa.me", di sua proprietà, per ospitare quei link che servono a consentire agli utenti di chattare con una persona della quale non hanno il numero di telefono salvato in rubrica. E' dal dominio "wa.me" che è avvenuto il leak dei numeri di telefono su Google.

Jayaram spiega che sul dominio wa.me, ma anche su api-whatsapp.com non è presente alcun file "robots.txt", che solitamente viene usato per istruire i motori di ricerca a non eseguire scansioni su alcuni tipi di dati: contiene cioè una serie di regole che limitano i dati che i motori di ricerca possono richiedere e indicizzare da un sito. Il risultato è che tutti i link che iniziano con "https://wa.me/" sono indicizzati da Google e da altri motori di ricerca e appaiono nei risultati. Se si fa clic su questi link, si viene reindirizzati al sito "api.whatsapp.com", consentenddo all'utente di chattare con l'utente WhatsApp.

"Quando il numero privato di una persona subisce un leak, un attaccante può usarlo per inviare messaggi, fare chiamate, vendere il numero ad agenzie dui marketing aggressive, a spammer ma anche a truffatori" spiega Jayaram. 

Facebook, proprietaria di WhatsApp, ha ringraziato Jayaram ma ha deciso di non assegnargli alcun premio per aver segnalato il bug: "Abbiamo apprezzato il report del ricercatore e il valore del tempo che ha speso per condividerlo con noi, ma questo non lo qualifica per la riscossione di alcun premio perchè il report contiene semplicemente gli URL indicizzati che gli utenti di WhatsApp hanno deciso di rendere pubblici. Tutti gli utenti di WhatApp, aziende comprese, possono bloccare i messaggi indesiderati semplicemente toccando un pulsante".

Va detto che la pratica di indicizzare numeri di telefono dura da decenni, ben prima che esistessero le app di messaggistica e ben prima che venisse concesso a Google di indicizzare numeri. D'altronde, la pubblicazione di un semplice numero di telefono non si collega automaticamente ad informazioni che rendono identificabile personalmente qualcuno. Il problema però, ricorda Jayaram, è che sono moltissimi i servizi online che sono collegati ai numeri di telefono: insomma, anche se il tema su quanto sia rischioso questo tipo di leak potrebbe essere dibattuto, utilizzare il file robots.txt nei propri domini impedendo la scansione di dati così sensibili ai motori di ricerca è uno sforzo di buon senso che non richiede neppure l'impiego di molte risorse.