手機通訊軟體WhatsApp被網路安全專家發現安全漏洞,只要在Google簡單輸入特定連結,就可以搜尋到大約30萬個用戶號碼,甚至查詢到用戶頭像與聊天內容,WhatsApp已經在昨(10)日修正疏失。
印度工程師Athul Jayaram於7日在個人部落格表示,發現WhatsApp的資安漏洞。WhatsApp開放「點擊對話」(Click to chat)的功能,讓你能在未將對方電話加入通訊錄的前提下,就與對方開始聊天。WhatsApp設定個人連結時,以「https://wa.me/」為開頭,再直接加上用戶手機號碼,卻未經加密保護。只要在Google搜尋引擎打上「site:wa.me」,再輸入不同國碼,就會跑出用戶資料,甚至連用戶的頭貼、聊天內容都被搜尋引擎找到。
Jayaram在部落格中示範,使用這個搜尋方法測試,分別輸入美國、印度、英國的國碼,大約跑出30萬筆用戶資料。有心人士可能使用這種方法,大量的騷擾WhatsApp用戶。
WhatsApp這項疏失早在2月就曾在推特上被WABetainfo發現,但是Jayaram在10日才更新資訊表示,在Google的協助下,WhatsApp已經排除這項漏洞,最後總計撤除了40多萬筆資料。
Jayaram以美國國碼測試搜尋用戶號碼。 圖:取自Athul Jayaram部落格
Jayaram以印度國碼測試搜尋用戶號碼。 圖:取自Athul Jayaram部落格
WABetainfo早在2月就發現WhatsApp漏洞。 圖:擷取自WABetaInfo推特
