小心!使用网页版的WhatsApp时,请选择隐私模式

简介: 本文讲的是小心!使用网页版的WhatsApp时,请选择隐私模式,2015年,WhatsApp推出网页版,这让许多用户感觉一下方便了许多,因为使用键盘打字比触摸屏要快得多,而且复制粘贴、添加附件也更容易。不过在用户体验提升的同时,也带来了一些安全问题,最明显的就是隐私泄露。
本文讲的是 小心!使用网页版的WhatsApp时,请选择隐私模式

小心!使用网页版的WhatsApp时,请选择隐私模式

2015年,WhatsApp推出网页版,这让许多用户感觉一下方便了许多,因为使用键盘打字比触摸屏要快得多,而且复制粘贴、添加附件也更容易。不过在用户体验提升的同时,也带来了一些安全问题,最明显的就是隐私泄露。

用户使用网页版WhatsApp时,攻击者无需添加好友就可以获得电话号码、个人头像以及在线状态,从而创建一个庞大的WhatsApp用户数据库。只有少数设置了隐私模式的用户不受影响。因为这项功能是默认关闭的,大部分用户都不知道。

小心!使用网页版的WhatsApp时,请选择隐私模式

网页版WhatsApp通过用户手机连接到WhatsApp服务器,会向WhatsApp服务器传送该电话号码相关的网络信息,包括以下3个方面:

1.个人资料图片,

2.登录期间的社交信息,一般情况下,默认的开头信息为“你好!我正在使用WhatsApp”,

3.用户的在线或离线状态。

实际上,每个电话号码所注册的WhatsApp都会具备上述3个状态信息。当你用手机注册的电话号码在网页上登录时,你的完整个人账户信息,比如个人资料图片,登录期间的社交信息,在线或离线状态的数据库就会立即打开,让用户从手机的使用到网页的使用之间形成一个完整的对接数据库。比如下图这回答了以下问题:电话号码为xxx-xxxxxx的用户的在线和离线状态的时间线,就显示的非常完整。

小心!使用网页版的WhatsApp时,请选择隐私模式

目前几乎所有网页上的脚本都是用Javascript编写的,如果有人能控制用户所浏览的网站的脚本,那他们就能对用户的网络行为了如指掌。网页版的WhatsApp也不例外,如果有人能通过脚本向WhatsApp服务器发送一个电话号码,那么他就能在几毫秒内收到有关该电话号码的信息,而且还可以看到源代码。

我已经利用这种可能性开发一个脚本,利用该脚本我可以对请求加我好友的电话号码的信息进行了解。该信息包含个人资料图片,登录期间的社交信息,在线或离线状态。其实每个人都可以创建这样一个脚本,以下就是我利用该脚本,随机对400个电话号码所进行的信息调查:

小心!使用网页版的WhatsApp时,请选择隐私模式

如果WhatsApp数据库可以以这样的方式随意进行查询,那用户还有什么隐私可言,所以当我发现在WhatsApp中可以用这种办法收集大量数据时,我联系了Facebook。总而言之,虽然他们意识到这种数据收集的可能风险,但他们并不认为这是一个问题,以下就是Facebook的回应。

小心!使用网页版的WhatsApp时,请选择隐私模式

网页版的WhatsApp会使用未记录的API,该JavaScript API会通过使用WebSocket与WhatsApp服务器进行通信。

小心!使用网页版的WhatsApp时,请选择隐私模式

我在脚本中使用了三个API调用。第一个是Store.ProfilePicThumb.find(<电话号码>),它用于收集个人资料的照片。

小心!使用网页版的WhatsApp时,请选择隐私模式

如上图所示,我用电话号码请求了个人资料的照片。请记住,只能在网页版的WhatsApp运行的同一个选项卡中请求该URL,而且必须向DOM添加一个<img>元素。

第二个API调用是Store.Wap.statusFind(<电话号码>),它用于请求关于电话号码的登录期间的信息。

小心!使用网页版的WhatsApp时,请选择隐私模式

最后一个API调用是Store.Presence.find(<电话号码>),它用于请求在线或离线状态。

小心!使用网页版的WhatsApp时,请选择隐私模式

通过循环使用这些API调用,你就可以得到你想要的每个电话号码的信息了。

在本文开头,你看到那张图,就是我创建的一个调用界面。




原文发布时间为:2017年5月13日
本文作者:xiaohui 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。
目录
相关文章
|
编解码 缓存 资源调度
揭密浏览器指纹:原来我们一直被互联网巨头监视,隐私在网上裸奔、无处可藏
今天讲⼀些让您按捺不住和欲求不满的反浏览器追踪技术,揭开你是如果被互联网巨头监控的。
366 0
揭密浏览器指纹:原来我们一直被互联网巨头监视,隐私在网上裸奔、无处可藏
|
安全 网络安全 数据安全/隐私保护
|
数据安全/隐私保护 安全
250万用户敏感信息泄露,Xbox和Playstation论坛已经没有隐私了
本文讲的是250万用户敏感信息泄露,Xbox和Playstation论坛已经没有隐私了,如果你在Xbox360ISO.com和PSPISO.com平台上有开通账户,那么请你赶紧重置密码。原因是,2015年末这两个网站已经被无名黑客入侵,受影响用户的账号信息已经散播至网上。
1373 0
|
Web App开发 安全 数据安全/隐私保护
如何用一张图片入侵Whatsapp和Telegram账户?
本文讲的是如何用一张图片入侵Whatsapp和Telegram账户?,下次别人再给你发送照片时,你一定要小心了,不管是萌萌的宠物照,还是她的美照,都不要立马点开。因为一旦你点开了图片,黑客就可以利用这张图片入侵你的Whatsapp和Telegram账户。
2913 0
|
安全 Android开发 iOS开发
App Store里的色情应用生态:伪装、诱导付费、窃取你的隐私信息
本文讲的是App Store里的色情应用生态:伪装、诱导付费、窃取你的隐私信息,知道网络上快速致富的手段是什么吗?当然是和色情有关了,不管是出于合法目的还是非法诱导目的,色情内容都能快速吸引人们的注意力。
23478 0