一位安全研究人员透露,WhatsApp允许在Google上列出智能手机号码的方式很奇怪。并不是用来访问WhatsApp的所有电话号码,而是已经与网站运营商交谈的电话号码。如果您除了自己认识的人之外从未与任何人在WhatsApp上进行过交谈,那么您可能不受平台安全性的这种相对破坏。
根据安全研究人员Athul Jayaram的说法,WhatsApp领导层已经知道这种情况,但根本不认为它们是安全问题。它与今年早些时候推出的WhatsApp QR码功能有关。
WhatsApp先前发布的群组邀请链接的工作方式不同于新的QR码功能。看来有效的群组邀请链接系统。QR码系统使用http://wa.me/上的URL缩短系统,该系统不使用加密来隐藏其链接中的用户电话号码。
当用户在此新系统上共享QR码时,如果该URL在Google漫游器可能会抓取的任何位置共享,则可能会将其编入索引并显示在Google搜索结果中。如果用户希望查找并找到WhatsApp无意中列出的数千个电话号码,他们所要做的就是搜索“ site:wa.me”和带引号的国家/地区代码。
在本文准备发布时,对“ site:wa.me”的搜索显示了3万多个结果。这些链接中的绝大多数包括纯文本格式的WhatsApp连接的电话号码。一些结果包括通过wa.me系统在WhatsApp对话中发送的消息。更新:这种Google搜索还会出现“ site:api.whatsapp.com”的成千上万个结果-但除非WhatsApp将其视为问题,否则它可能会继续扩展。