Coletando grandes quantidades de dados com o WhatsApp
Criar um banco de dados de números de telefone, imagens de perfil e informaçþes de status de quase todos os usuårios do WhatsApp Ê muito fåcil. O usuårio nem precisa ser adicionado aos seus contatos. Isso deve levantar pelo menos algumas preocupaçþes com a privacidade e, espero, muito mais. Deixe-me explicar como funciona.
VocĂŞ ĂŠ especialista em tecnologia? VocĂŞ pode fazer o download aqui de uma extensĂŁo do Chrome para usar meu script por conta prĂłpria.
HĂĄ alguns anos, o WhatsApp tornou possĂvel usar o WhatsApp no ââseu navegador. Isso ĂŠ bom para a experiĂŞncia do usuĂĄrio porque compor uma mensagem no seu teclado ĂŠ muito mais fĂĄcil do que usar esses minĂşsculos botĂľes da tela sensĂvel ao toque. TambĂŠm torna mais fĂĄcil copiar / colar e adicionar anexos. Tanto pelas boas notĂcias. A mĂĄ notĂcia ĂŠ que ĂŠ tecnicamente possĂvel usar a interface da Web do WhatsApp para criar um banco de dados enorme de todos os possĂveis usuĂĄrios do WhatsApp. HĂĄ apenas um pequeno grupo de usuĂĄrios nĂŁo afetados: os usuĂĄrios que alteraram suas configuraçþes de privacidade. Infelizmente, a maioria dos usuĂĄrios nĂŁo altera essas configuraçþes de privacidade e o WhatsApp nĂŁo o incentiva muito. Esses fatos abrem a possibilidade de coletar enormes quantidades de dados interessantes que vou mostrar agora.
Explicação para usuårios normais
O WhatsApp da Web se conecta aos servidores WhatsApp usando seu telefone. Em poucas palavras, o navegador instrui o servidor a devolver todas as informaçþes de um determinado número de telefone. Algumas das informaçþes que estão sendo enviadas de volta incluem o seguinte:
- A foto do perfil
- O texto de status ou sobre o texto, os textos padrĂŁo ĂŠ o famoso 'Hey there! Estou usando whatsapp'
- O status on-line / off-line do usuĂĄrio
Acontece que as informaçþes acima podem ser solicitadas para cada nĂşmero de telefone. Como foi dito, nĂŁo ĂŠ necessĂĄrio que o nĂşmero de telefone tenha sido adicionado Ă sua lista de contatos. E como nĂŁo hĂĄ essa restrição, ĂŠ possĂvel criar um banco de dados completo de nĂşmeros de telefone, fotos de perfil, textos e status online / offline. O banco de dados pode ser configurado de tal forma que os cronogramas completos dos nĂşmeros de telefone possam ser reconstruĂdos. Isso responde a perguntas como: quando era o usuĂĄrio com o nĂşmero de telefone xxx-xxxxxx online e offline?
Quase todos os sites que estĂŁo sendo enviados para o seu navegador contĂŞm software especĂfico que determina como o site funcionarĂĄ no seu navegador. Esse software ĂŠ escrito em Javascript. O software determina o que acontece quando vocĂŞ clica em um botĂŁo ou move o mouse. Mas o software tambĂŠm pode se conectar a um servidor para solicitar certos tipos de informação. O software na Web WhatsApp tambĂŠm faz isso. Ele envia um nĂşmero de telefone para o servidor WhatsApp e, em poucos milissegundos, recebe as informaçþes sobre esse nĂşmero de telefone. Uma das coisas legais desse software ĂŠ que todos podem dar uma olhada no cĂłdigo-fonte. Isso nĂŁo ĂŠ tudo, vocĂŞ tambĂŠm pode usar o software sozinho usando certas partes dele sozinho. Eu usei essa possibilidade para desenvolver um script para solicitar informaçþes de uma enorme variedade de nĂşmeros de telefone. Essa informação contĂŠm as imagens do perfil, sobre textos e status online / offline. Todos podem criar um script desse tipo.
Preocupaçþes com a privacidade
EntĂŁo, o que alguĂŠm pode fazer com todas essas informaçþes? Antes de mais nada, imagine que qualquer pessoa possa criar um banco de dados com as informaçþes acima, que contenha todos os nĂşmeros de telefone de um determinado paĂs, juntamente com as fotos do perfil, sobre os textos e os status on-line / off-line. Isso estĂĄ ao alcance de um paĂs como a Holanda. O banco de dados pode ser consultado de tal forma que ele me avisa quando um nĂşmero de telefone estĂĄ on-line e me diz qual imagem de perfil pertence ao nĂşmero de telefone. Depois de alguns meses, ele pode me dizer com que frequĂŞncia vocĂŞ mudou sua foto de perfil e em quais fotos. E quanto ao reconhecimento facial? Essas tĂŠcnicas foram melhoradas nos Ăşltimos anos. Imagine isso, dou uma caminhada e tiro uma foto de algum estranho. Agora eu alimento o banco de dados que foto e em poucos minutos, ele me diz qual nĂşmero de telefone pertence Ă imagem.
Resposta WhatsApp
Sou fã de divulgação responsåvel. Então, quando descobri essa possibilidade de coletar enormes quantidades de dados no WhatsApp, entrei em contato com eles. Ou entrei em contato com o Facebook porque eles possuem o WhatsApp. Resumidamente, eles estão cientes da possibilidade dessa quantidade de coleta de dados, mas não a consideram um problema ou uma preocupação de privacidade. Tome um momento para pensar sobre isso antes que você possa concordar ...
Explicação tÊcnica
A seguir, uma explicação tĂŠcnica que pode ser um pouco difĂcil de seguir para usuĂĄrios nĂŁo tĂŠcnicos.
Web WhatsApp faz uso de uma API nĂŁo documentada. Essa ĂŠ uma API que vocĂŞ pode usar, mas terĂĄ que descobrir por si mesmo como usĂĄ-la. A API javascript se comunica com os servidores WhatsApp usando um WebSocket.
Existem trĂŞs chamadas de API que uso no meu script. O primeiro ĂŠ a loja . ProfilePicThumb . find (<phone number>) e ĂŠ usado para coletar fotos de perfil. VocĂŞ pode usĂĄ-lo da seguinte maneira:
A segunda chamada da API ĂŠ Store . Wap . statusFind (<phone number>) e ĂŠ usado para solicitar o texto sobre um nĂşmero de telefone. Um exemplo:
A última chamada da API Ê Loja . Presença . find (<phone number>) e Ê usado para solicitar o status online / offline. Use-o da seguinte maneira:
Colocando todas essas chamadas de API em um loop, você pode solicitar essas informaçþes para cada número de telefone que você puder imaginar.
No inĂcio deste artigo, vocĂŞ vĂŞ uma interface do usuĂĄrio que eu criei. Ele usa as chamadas de API acima. VocĂŞ pode encontrar esse script aqui . Elimine o script no console do desenvolvedor em sua instância do WhatsApp da Web e a interface do usuĂĄrio serĂĄ exibida. Por favor, use-o com sabedoria!
Atualização 15-05-2017 04:20
Algumas pessoas fizeram algumas observaçþes sobre essa descoberta. Eu gostaria de responder a essas observaçþes da seguinte forma:
Observação 1: 'NĂŁo vejo como isso ĂŠ notĂcia, posso simplesmente adicionar qualquer nĂşmero e ter a mesma informação'
Sim, você pode fazer isso e você teria as mesmas informaçþes. Mas a diferença Ê que eu uso uma maneira automatizada para coletar essas informaçþes. Você Ê capaz de selecionar 100 números, adicionå-los aos seus contatos e ter essa informação em uma boa mesa usando seu telefone? à a escala da coleção e não se trata de revelar informaçþes secretas. Não Ê um problema relacionado à segurança.
Sim, você pode fazer isso e você teria as mesmas informaçþes. Mas a diferença Ê que eu uso uma maneira automatizada para coletar essas informaçþes. Você Ê capaz de selecionar 100 números, adicionå-los aos seus contatos e ter essa informação em uma boa mesa usando seu telefone? à a escala da coleção e não se trata de revelar informaçþes secretas. Não Ê um problema relacionado à segurança.
Observação 2: 'Esta informação nĂŁo ĂŠ secreta nem privada. Como esta notĂcia?
Haha, sim eu entendo isso. Mas pense nisso: eu posso criar um enorme banco de dados contendo imagens de perfil conectadas a um número de telefone. Dessa forma, posso usar o reconhecimento facial para descobrir qual Ê o número de telefone de alguÊm tirando uma foto deles. Novamente, como com a observação 1: Ê tudo sobre a escala potencial de fazer isso, o que o torna um problema.
Haha, sim eu entendo isso. Mas pense nisso: eu posso criar um enorme banco de dados contendo imagens de perfil conectadas a um número de telefone. Dessa forma, posso usar o reconhecimento facial para descobrir qual Ê o número de telefone de alguÊm tirando uma foto deles. Novamente, como com a observação 1: Ê tudo sobre a escala potencial de fazer isso, o que o torna um problema.
Observação 3: 'Eu jĂĄ descobri isso anos atrĂĄs, como ĂŠ essa notĂcia?'
Eu nĂŁo sei? Provavelmente nĂŁo conseguiu a atenção que merecia na ĂŠpoca. Agora, chama a atenção, fique feliz com isso, porque muitas pessoas mudaram suas configuraçþes de privacidade no WhatsApp por causa desse blog / script.
Eu não sei? Provavelmente não conseguiu a atenção que merecia na Êpoca. Agora, chama a atenção, fique feliz com isso, porque muitas pessoas mudaram suas configuraçþes de privacidade no WhatsApp por causa desse blog / script.
Atualização 16-05-2017 14:00
Andreas Buchenscheit apontou para mim os perigos de saber a linha do tempo de presença dos usuårios do WhatsApp. Dê uma olhada no seu papel aqui.
ComentĂĄrios
Postar um comentĂĄrio