Дослідник безпеки Athul Jayaram попередив про загрозу, яку містить функція месенджера WhatsApp під назвою Click to Chat. За його словами, вона дозволяє Google індексувати номери телефонів користувачів, і їх потім можна легко знайти за допомогою пошукової системи.
Click to Chat дозволяє сайтам швидко ініціювати бесіду в WhatsApp зі своїми відвідувачами. Функція працює шляхом присвоєння QR-коду номером телефону власника ресурсу. Відвідувачу сайту досить лише просканувати QR-код або клікнути на URL-адресу, і почнеться діалог у WhatsApp. Вводити номер телефону при цьому не потрібно, однак, коли починається розмова, у користувача все одно є до нього доступ.
За словами дослідника, проблема полягає в тому, що ці номери потім потрапляють в Google, оскільки пошукова система індексує метадані Click to Chat. Номер телефону входить в рядок URL (https://wa.me/), що призводить до його “витоку”, вважає дослідник. Завдяки цьому спамери можуть легко створювати бази даних дійсних номерів і використовувати їх у своїх кампаніях. Сам дослідник виявив близько 300 тис. проіндексованих Google телефонних номерів.
Хоча номери телефонів не прив’язуються до імен їхніх власників, зловмисники все одно можуть дізнатися, кому вони належать. Якщо натиснути на URL-адресу з номером телефону в пошуковій видачі Google, відкриється профіль користувача разом з фотографією. Зловмисник може скористатися пошуком за картинкою і зібрати достатньо даних про потенційну жертву.
Дослідник повідомив WhatsApp про своє відкриття, однак компанія відмовилася вважати його уразливістю, оскільки користувачі самі вважали за краще зробити свої номери телефонів публічними.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ПЕРЕВІРИТИ ОПЕРАТИВНУ ПАМ’ЯТЬ НА ПОМИЛКИ ТА ВИПРАВИТИ ЇХ? – ІНСТРУКЦІЯ
ЯК КОНТРОЛЮВАТИ ОНОВЛЕННЯ WINDOWS 10 ЗА П’ЯТЬ КРОКІВ
ЯК ОБМЕЖИТИ ЕКРАННИЙ ЧАС У WINDOWS 10? – ІНСТРУКЦІЯ
Нагадаємо, дослідники компанії Avast виявили три шахрайських VPN-додатки для iOS-пристроїв, які самовільно списують кошти користувачів. За словами експертів, додатки стягують підвищену плату за послуги, які не надаються належним чином.
Також Apple опублікувала набір безкоштовних інструментів та ресурсів, щоб допомогти розробникам менеджерів паролів – а також інших програм – генерувати надійні паролі.
До речі, компанія Mozilla планує додати в майбутні версії Firefox можливість експорту збережених облікових даних у файл формату CSV, який потім можна імпортувати в менеджер паролів або зберігати в якості резервної копії.
Окрім цього, дослідники із ProtectEM виявили, що контролери світлофорів на мікросхемах SWARCO LS4000 вразливі до атак через відкритий порт, який використовується для налагодження роботи системи управління.
А експерти з компанії IntSights відзначили збільшення попиту на облікові дані YouTube-каналів на підпільних торгових майданчиках. Вартість пропонованих екаунтів пропорційна кількості передплатників. Наприклад, ціна за канал з 200 тис. передплатників починається від $ 1 тисячі.
