小心!使用网页版的WhatsApp时,请选择隐私模式

xiaohui 新闻 2017年5月13日发布
Favorite收藏

导语:用户使用网页版WhatsApp时,攻击者无需添加好友就可以获得电话号码、个人头像以及在线状态,从而创建一个庞大的WhatsApp用户数据库。

360反馈意见截图16410122366857.png

2015年,WhatsApp推出网页版,这让许多用户感觉一下方便了许多,因为使用键盘打字比触摸屏要快得多,而且复制粘贴、添加附件也更容易。不过在用户体验提升的同时,也带来了一些安全问题,最明显的就是隐私泄露。

用户使用网页版WhatsApp时,攻击者无需添加好友就可以获得电话号码、个人头像以及在线状态,从而创建一个庞大的WhatsApp用户数据库。只有少数设置了隐私模式的用户不受影响。因为这项功能是默认关闭的,大部分用户都不知道。

1.jpg

网页版WhatsApp通过用户手机连接到WhatsApp服务器,会向WhatsApp服务器传送该电话号码相关的网络信息,包括以下3个方面:

1.个人资料图片,

2.登录期间的社交信息,一般情况下,默认的开头信息为“你好!我正在使用WhatsApp”,

3.用户的在线或离线状态。

实际上,每个电话号码所注册的WhatsApp都会具备上述3个状态信息。当你用手机注册的电话号码在网页上登录时,你的完整个人账户信息,比如个人资料图片,登录期间的社交信息,在线或离线状态的数据库就会立即打开,让用户从手机的使用到网页的使用之间形成一个完整的对接数据库。比如下图这回答了以下问题:电话号码为xxx-xxxxxx的用户的在线和离线状态的时间线,就显示的非常完整。

2.png

目前几乎所有网页上的脚本都是用Javascript编写的,如果有人能控制用户所浏览的网站的脚本,那他们就能对用户的网络行为了如指掌。网页版的WhatsApp也不例外,如果有人能通过脚本向WhatsApp服务器发送一个电话号码,那么他就能在几毫秒内收到有关该电话号码的信息,而且还可以看到源代码。

我已经利用这种可能性开发一个脚本,利用该脚本我可以对请求加我好友的电话号码的信息进行了解。该信息包含个人资料图片,登录期间的社交信息,在线或离线状态。其实每个人都可以创建这样一个脚本,以下就是我利用该脚本,随机对400个电话号码所进行的信息调查:

3.png

如果WhatsApp数据库可以以这样的方式随意进行查询,那用户还有什么隐私可言,所以当我发现在WhatsApp中可以用这种办法收集大量数据时,我联系了Facebook。总而言之,虽然他们意识到这种数据收集的可能风险,但他们并不认为这是一个问题,以下就是Facebook的回应。

4.jpg

网页版的WhatsApp会使用未记录的API,该JavaScript API会通过使用WebSocket与WhatsApp服务器进行通信。

5.png

我在脚本中使用了三个API调用。第一个是Store.ProfilePicThumb.find(<电话号码>),它用于收集个人资料的照片。

6.png

如上图所示,我用电话号码请求了个人资料的照片。请记住,只能在网页版的WhatsApp运行的同一个选项卡中请求该URL,而且必须向DOM添加一个<img>元素。

第二个API调用是Store.Wap.statusFind(<电话号码>),它用于请求关于电话号码的登录期间的信息。

7.png

最后一个API调用是Store.Presence.find(<电话号码>),它用于请求在线或离线状态。

8.png

通过循环使用这些API调用,你就可以得到你想要的每个电话号码的信息了。

在本文开头,你看到那张图,就是我创建的一个调用界面。你可以在这里找到所使用的脚本信息。

本文翻译自https://www.lorankloeze.nl/2017/05/07/collecting-huge-amounts-of-data-with-whatsapp/,如若转载,请注明原文地址: http://www.4hou.com/info/news/4701.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论