Un fallo en WhatsApp convierte en públicos los chats de grupo privados
WhatsApp, la aplicación de mensajería instantánea más empleada en el mundo, con más de 2.000 millones de usuarios, posee un fallo que permite el acceso público a chats privados a través de Gogole. A diferencia del último fallo en los chats grupales, donde sólo los ciberdelincuentes tenían acceso a las conversaciones empleando sus conocimientos avanzados, en este caso cualquier usuario puede acceder a conversaciones, contactos y material compartido en grupos privados de WhatsApp con sólo entrar al buscador.
Si se publica el enlace de chats de grupos privados de WhatsApp en internet, Google lo indexa a su lista de sitios web, y lo convierte en una unidad pública y de fácil acceso
El descubrimiento lo ha hecho Jordan Wilson, un periodista alemán, quien ha compartido su experiencia en Twitter. Lo que ocurre es que cuando se usa la función «Invitar al grupo a través de un enlace» y se comparte este en Internet, Google indexa la URL como un sitio web más al que se puede acceder fácilmente. Este es el tuit original del periodista:
Your WhatsApp groups may not be as secure as you think they are.
The "Invite to Group via Link" feature allows groups to be indexed by Google and they are generally available across the internet. With some wildcard search terms you can easily find some… interesting… groups. pic.twitter.com/hbDlyN6g3q
— Jordan Wildon (@JordanWildon) February 21, 2020
Esto puede llevar a que cualquiera pueda tener acceso al grupo. Se podría culpar directamente a los usuarios que comparten enlaces de invitaciones a chats de grupos privados en Internet, puesto que al hacerlo habilitan la dirección y la convierten púbica en Google, porque se indexa automáticamente en el buscador. Luego, cualquier usuario puede, con solo colocar este enlace https://chat.whatsapp.com (la URL raíz de las invitaciones a grupos de WhatsApp) en el buscador, entrar a un determinado grupo cuyo enlace de invitación haya sido publicado en Internet.
Por su parte, Jane Manchun Wong, ingeniera a la inversa de aplicaciones, ha expresado en su cuenta de Twitter que, Google cuenta con más de 470.000 resultados de búsquedas que permiten acceder a estos grupos privados de WhatsApp. Sin embargo, la mayoría de estos no tiene una audiencia tan amplia o son grupos para compartir pornografía. Aquí el tuit original de la ingeniera:
A misconfiguration by WhatsApp enabled ~470k Group Invite links to be indexed by search engines
It should’ve been `Disallow`ed with robots.txt or with the `noindex` meta tag
thanks @JordanWildon for the tip https://t.co/CJxjJ5qyfh pic.twitter.com/FrW1I9Y8vs
— Jane Manchun Wong (@wongmjane) February 21, 2020
Ante esto, WhatsApp ha emitido un comunicado en el que indica que los administradores de cada grupo tienen la libertad de invitar a cualquier usuario que deseen a sus chat grupales, a través de enlaces de invitación, siempre y cuando sea considerado un chat público. Sin embargo, para chats grupales más privados, es mejor no compartir el enlace en Internet.
