WhatsApp 近日因為個人資料及私隱問題,令不少人決定轉用其他通訊軟件,今日有人爆出 WhatsApp 更多網絡安全問題,部分 WhatsApp 私人群組的加入鏈結竟然可透過 Google 搜尋找到,用戶的電話號碼和個人頭像亦可被搜尋出來,幸好現時已經作出修復。
網絡安全研究人員 Rajshekhar Rajaharia 向外國傳媒 Gadgets 360 通報,指他發現有約 1,500 個 WhatsApp 群組的邀請鍵結出現在 Google 搜尋結果,所有人都可以透過這些鏈結加入群組。這個問題早於 2019 年 11 月也曾經發生過,有安全人員將問題報告給 Facebook 後,很快就解決了,有工程師表示,WhatsApp 是透過在群組的邀請鍵結加入「Noindex」標籤,並交給 Google,讓他們不要把帶有標籤的鏈結出現在搜尋結果。
不過 Rajshekhar Rajaharia 就表示這不是最好的做法,因為這個方法有時效性,邀請鍵結會在數個月後重新出現在搜尋結果當中,他提出 WhatsApp 未有為 chat.whatsapp.com 加入「robots.txt」文件,所以才會導致鏈結出現在 Google 搜尋結果。網頁開發人員通常會使用「robots.txt」文件來告訴搜尋引擎可以搜尋到那些頁面,那些不應建立索引。
Your @WhatsApp groups may not be as secure as you think they are. WhatsApp Group Chat Invite Links, User Profiles Made Public Again on @Google Again.
Story – https://t.co/GK2KrCtm8J#Infosec #Privacy #Whatsapp #infosecurity #CyberSecurity #GDPR #DataSecurity #dataprotection pic.twitter.com/7PvLYuM9xD— Rajshekhar Rajaharia (@rajaharia) January 10, 2021
除了群組邀請鍵結外,WhatsApp 個人通訊鏈結也可在 Google 搜尋找到,他們發現已有約 5,000 個個人通訊鏈結可以被找到,方法與群組邀請鍵結相同,所有人都可以透過鏈結查看用戶個人頭像及進行聊天。有消息指這個問題也曾出現過一段時間,只是去年 6 月 WhatsApp 已自行修復這個問題,而未有發出相關聲明。Rajshekhar Rajaharia 指出 api.whatsapp.com 同樣也未有加入「robots.txt」文件。
WhatsApp 收到消息後,已迅速處理好,目前在 Google 搜尋內不會找到群組邀請鍵結和個人通訊鏈結,除了少部分用家自行在網上公開的鏈結。WhatsApp 同時發出聲明,指自 2020 年 3 月起,WhatsApp 已經在所有鏈結中加入「Noindex」標籤,當時 Google 表示將不會將該標籤加入在搜尋結果當中,現時已經再將問題通知 Google,避免再發生同樣事件。WhatsApp 提醒用家,只要有人加入群組,群組中的每個人也會收到通知,而且管理員可以隨時取消或更改邀請鏈結。個人用戶也不應將邀請鏈結發佈到公開的網站上。
而昨日 Facebook 大中華區總裁在 Facebook 回應近日關於 WhatsApp 更新私隱條款的問題時,提及 WhatsApp 所有個人訊息、群組內嘅通訊、語音、視像對話都喺端對端加密,但今日就被人爆出不少 WhatsApp 用戶的電話號碼和個人頭像在不知情下被放上 Google 搜尋,顯示出用戶的個人頭像並未有進行加密,令人對 WhatsApp 的私隱保障能力更為擔心。