Eine Schwachstelle von WhatsApp ermöglicht die Indexierung Hunderttausender privater Gruppeneinladungslinks durch Suchmaschinen wie Google.
WhatsApp ist eine der am häufigsten genutzten Messaging-Plattformen der Welt. Erst diesen Monat hat das Unternehmen gab bekannt, dass sie die 2-Milliarden-Nutzer-Marke überschritten haben. Wie bei anderen Messaging-Plattformen sind WhatsApp-Gruppenchats eine beliebte Möglichkeit, mit Ihrer Familie oder Gruppen von Freunden, Kollegen oder Fremden im Internet zu kommunizieren. Benutzer können andere mit der Funktion „Über Link zur Gruppe einladen“ zu privaten Gruppen einladen und diesen Link dann auf beliebige Weise teilen. Wenn diese Einladungslinks zufällig online geteilt werden, scheint es erschreckend einfach zu sein, sie mit einer einfachen Suchmaschinenabfrage zu finden.
Dieser Designfehler wurde erstmals vom Journalisten Jordan Wildon auf Twitter gemeldet. Er entdeckte, dass die „Zur Gruppe über Link einladen“-URLs von Google indiziert wurden und mit den richtigen Suchbegriffen gefunden werden konnten. Die Gruppenchat-Links verwenden die Basis-URL „chat.whatsapp.com“, die bei Google mit dem Modifikator „site:“ zu finden ist.
Jane Manchun Wong, bekannt für das Reverse Engineering von Apps, sorgte für mehr Aufmerksamkeit auf die Situation. Sie fand heraus, dass Google bei einer einfachen Website-Suche nach der URL „chat.whatsapp.com“ über 470.000 Ergebnisse liefert. Viele dieser Ergebnisse sind Einladungen für private Gruppen. Sobald ein Benutzer einer Gruppe beitritt, kann er alle Teilnehmer und deren Telefonnummern sehen. Offensichtlich handelt es sich hierbei um ein ziemlich großes Datenschutzproblem, da es sich bei einigen der Gruppen um Gruppen handelt, mit denen man möglicherweise nicht öffentlich in Verbindung gebracht werden möchte.
Danny Sullivan, Googles Verbindungsmann für die öffentliche Suche, getwittert über die Situation und sagte: „Suchmaschinen wie Google und andere listen Seiten aus dem offenen Web auf.“ Das ist es, was hier passiert. Es ist nicht anders als in jedem Fall, in dem eine Website die öffentliche Auflistung von URLs zulässt.“ Er fährt fort, dass dies der Fall sei Werkzeuge für Webmaster, um zu verhindern, dass Inhalte in Suchergebnissen angezeigt werden, was WhatsApp eindeutig tun muss, um Benutzer dieser Gruppen zu schützen.
Dies ist nicht die Schuld von Google oder einer anderen Suchmaschine. Wie Jane und Danny betonten, ist dies auf mangelnde Weitsicht seitens WhatsApp zurückzuführen. Sie sollten das Meta-Tag „noindex“ oder „norobots.txt“ verwenden, um die Einladungsseiten von der Anzeige in Suchmaschinen auszuschließen.
Ein WhatsApp-Sprecher hat die folgende Erklärung veröffentlicht Vize:
Gruppenadministratoren in WhatsApp-Gruppen können jeden WhatsApp-Benutzer einladen, dieser Gruppe beizutreten, indem sie einen von ihnen generierten Link teilen. Wie alle Inhalte, die in durchsuchbaren, öffentlichen Kanälen geteilt werden, können Einladungslinks, die öffentlich im Internet gepostet werden, von anderen WhatsApp-Benutzern gefunden werden. Links, die Benutzer privat mit Personen teilen möchten, die sie kennen und denen sie vertrauen, sollten nicht auf einer öffentlich zugänglichen Website veröffentlicht werden.
WhatsApp sagt, dass öffentlich im Internet geteilte Links durchsuchbar sind, aber das ist hier nur eine Verzerrung des eigentlichen Problems. Dabei handelt es sich nicht darum, dass Leute ein paar Gruppenchat-Links finden, die unklugerweise online geteilt wurden. Tausende von Gruppenchat-Einladungslinks sind leicht auffindbar, weil WhatsApp sich weigert, irgendetwas zu unternehmen, um zu verhindern, dass Suchmaschinen sie indizieren. Die Leute sollten diese URLs nicht online teilen, aber WhatsApp könnte das Problem lösen, dass sie so leicht durchsuchbar sind.