Whatsapp es la aplicación (app) de mensajería instantánea más utilizada en LatinoAmérica, la app no está limitada a enviar mensajes de texto, sino también mensajes multimedia, como notas de voz, imágenes, audio, video y archivos. Incluso, existe una versión para organizaciones o empresas llamada Whatsapp Bussiness.
Un investigador a revelado el peligro de utilizar una función de Whatsapp llamada “Click to Chat”, la cual fue diseñada para ofrecer a los sitios web una manera fácil de iniciar una sesión de chat con un visitante del Website. Esta característica trabaja por medio de una asociación de una imagen de código de respuesta rápida, también conocido como QR (Quick Response) para permitir a un sitio conocer el número telefónico del teléfono móvil. Esto permite al visitante del sitio web que utilice esta función, escanear el código QR o hacer click en un URL para iniciar una sesión de Chat de Whatsapp, en dicha sesión puede conversar o realizar una llamada, sin necesidad de realizar un marcado del número o tenerlo agregado a los contactos.
El experto destaca que el problema se encuentra en que esos números pueden aparecer en los resultados de búsqueda de Google, debido a que el motor de búsqueda indexan los metadatos de la función “Click to Chat”.
Los números telefónicos que son revelados formarán parte de una cadena URL en el dominio “https://wa.me/”, quedando de la siguiente forma “https://wa.me/<phone_number>”, causando que el número telefónico quede expuesto en texto plano.
Aunque Google Search no muestra la identidad del usuario al que pertenece el número telefónico expuesto, la falla puede ser utilizada para enviar mensajes o realizar llamadas, lo que permitiría a un atacante realizar posibles estafas. Además, si el usuario tiene su foto de perfil para que pueda ser vista de forma pública, también podrá ser vista y usada como parte de la recolección de pistas de la identidad del usuario.
Según el investigador, el emparejar un número de teléfono con un nombre, una foto y una dirección, puede ser un poderoso punto de partida para un ladrón de identidad.
Ejemplo de números expuestos
Para la compañía dueña de la app Whatsapp, Facebook, dice que la función “Click to Chat” ofrece el servicio de permitir a los usuarios crear un URL con su teléfono, para que cualquiera pueda fácilmente comunicarse con él, y donde actualmente es utilizado por un amplio número de empresas pequeñas alrededor del mundo. Lo que significa que para el gigante de las redes sociales, la exposición de los números es parte del servicio.
Fuente:
COMENTARIOS