Tutto ciò che riguarda WhatsApp, dallo scambio dei messaggi agli inviti ai gruppi, passando per la condivisione di file e arrivando alle chiamate e alle video chiamate, è la perfetta descrizione del “deep web“: una porzione di internet non visibile ai motori di ricerca ma che compone la struttura portante del web. Peccato solo che a volte, per questioni di bug o di vere e proprie falle di sicurezza, vi è un passaggio di informazioni dal deep web al clear web.
WhatsApp è una delle piattaforme di messaggistica più utilizzate al mondo. Proprio questo mese, la società ha annunciato di aver superato 2 miliardi di utenti. Come su altre piattaforme di messaggistica, le chat di gruppo di WhatsApp sono un modo popolare per comunicare con la famiglia, gli amici, i colleghi o sconosciuti. Gli utenti possono invitare altri a gruppi privati con la funzione “Invita al gruppo tramite collegamento” e quindi condividere quel link come preferiscono.
A causa di un problema ancora non svelato, se quei link di invito vengono condivisi online, sembra che fuoriescano dal deep web per essere tranquillamente ricercabili sui motori di ricerca come Google.
Your WhatsApp groups may not be as secure as you think they are.
The “Invite to Group via Link” feature allows groups to be indexed by Google and they are generally available across the internet. With some wildcard search terms you can easily find some… interesting… groups. pic.twitter.com/hbDlyN6g3q
— Jordan Wildon (@JordanWildon) February 21, 2020
Questo difetto di progettazione è stato segnalato per la prima volta dal giornalista Jordan Wildon su Twitter. Egli ha scoperto che gli URL “Invita al gruppo tramite link” venivano indicizzati da Google e potevano essere trovati con i giusti termini di ricerca. I link alle chat di gruppo utilizzano l’URL di base “chat.whatsapp.com”, che può essere trovato su Google con il modificatore “site:”.
Jane Manchun Wong, nota per effettuare il reverse engineering delle app, su Google ha ottenuto oltre 470.000 risultati durante una semplice ricerca nel sito per l’URL “chat.whatsapp.com”. Molti di questi risultati sono inviti per gruppi privati. Una volta che un utente si unisce a un gruppo, può vedere tutti i partecipanti e i loro numeri di telefono.
Ovviamente, questo è un problema di privacy piuttosto grande, in quanto alcuni dei gruppi sono quelli a cui le persone potrebbero non voler essere associate pubblicamente.
