情報セキュリティ研究者は、何十万もの電話番号、名前、プロフィール写真がGoogle経由で簡単にアクセスできることが判明した際にWhatsAppがユーザーを責めるのは少し早計だったと考えている。
自称「フルタイムのバグバウンティハンター」のアトゥル・ジャヤラム氏は今週初め、ドメイン「wa.me」をGoogleで検索すると、多数のWhatsappユーザーの携帯電話番号が簡単に見つかる可能性があることを指摘するブログ記事を公開した。
このドメインはWhatsAppの「Click to Chat」機能の一部でした。WhatsAppアカウントの所有者であるあなたが、world+dogに新しいチャット連絡先として追加してもらいたい場合、相手の電話番号を自分の電話番号に1桁ずつ入力するという面倒な手順を踏むよりも、QRコード(そう、そういうものの一つです…)を生成することで、相手がそうすることができるのです。
顧客とのコミュニケーションを簡素化したい企業向けの機能として宣伝されている「Click to Chat」QRショートコードは、固有のURL文字列とともにhttps://wa.meに解決されます。この固有の文字列は、たまたまユーザーの電話番号そのものだったのです。
「この機能はリンク内の電話番号を暗号化しないため、このリンクがどこかで共有されると、あなたの電話番号も平文で閲覧可能になります」とジャヤラム氏はブログ投稿で述べている。
彼はさらにグーグル検索を続け、「site:」演算子を使ってWhatsappのQRコードのドメインに検索範囲を限定し、インド、アメリカ、イギリスなどさまざまな国のおよそ30万件の電話番号を発見したと推定している。
2019年、WhatsApp通話で電話がハッキングされる:ゼロデイ脆弱性がモバイルにスパイウェアを感染させる
続きを読む
明らかに正しい対応は、WhatsAppがwa.meのrobots.txtファイルをGoogleのインデックスに登録しないように設定することだったはずだ。これはJayaram氏も考えたことだった。しかし、WhatsAppはプライバシーの失態を自社ユーザーのせいにすることに決め、Techcrunchに対し、Jayaram氏の調査結果には「WhatsAppユーザーが公開を選択したURLの検索エンジンインデックスが含まれていただけ」だと述べた。広報担当者はサイトに「企業を含むすべてのWhatsAppユーザーは、ボタンをタップするだけで不要なメッセージをブロックできます」と付け加えた。
ジャヤラム氏はバグ報奨金を受け取れなかったことに腹を立てているようだが、それはここでの問題ではない。WhatsAppは近年、セキュリティとプライバシーの問題に悩まされてきた。中には重大なものもあれば、そうでないものもあり、実に恐ろしいものもあった。WhatsAppの親会社であるFacebookは、エンドツーエンドの暗号化を含むセキュリティ機能を大々的に宣伝している。世界最大の広告テクノロジー企業が運営する世界最大の検索エンジンに、ウェブサイトでユーザーの電話番号を平文のまま公開して収集させてしまうようなことがあれば、技術的なセキュリティは役に立たない。
wa.meはその後Googleから削除されましたが、今では世界中、そしてその悪意ある犬どもも、スミッシング、SIMスワップ、そして悪意ある人々が個人情報や金融データを盗むためのあらゆる手段に使える、有効な電話番号の巨大なリポジトリがどこにあるか知っています。結局のところ、悪意ある人々はrobots.txtを尊重しません。
Facebook 社にコメントを求めており、同社から回答があればこの記事を更新します。®
