Jeśli wysyłasz wiadomość, zdjęcie lub film z opcją „Wyświetl raz” przez WhatsApp, nie bądź taki pewny, że odbiorca nie będzie mógł go obejrzeć ponownie.
Badacze ds. bezpieczeństwa portfela kryptowalut ZenGo niedawno odkryli błąd, który umożliwiał użytkownikom WhatsApp wyświetlanie wiadomości z opcją „Wyświetl raz” dowolną liczbę razy.
Meta aktualizuje czaty firm trzecich WhatsApp i Messenger w Europie
W odpowiedzi WhatsApp załatał problem. Jednak badacze ZenGo odkryli kolejny exploit w tymczasowej poprawce WhatsApp, który ponownie pozwolił im uzyskać dostęp do wiadomości, które rzekomo zniknęły.
WhatsApp View Once exploit
Funkcja View Once została wprowadzona przez WhatsApp w 2021 roku. Funkcja View Once umożliwia użytkownikom wysyłanie wiadomości tekstowych, zdjęć i filmów, które znikają po pierwszym otwarciu ich przez odbiorcę.
Ponadto, aby zapewnić ulotny charakter tych wiadomości, WhatsApp wyłącza używanie zrzutów ekranu w aplikacji w wiadomościach View Once za pośrednictwem iOS i Androida. Ponadto WhatsApp ogranicza wiadomości View Once wyłącznie do aplikacji mobilnych.
Jednak w poście zamieszczonym w zeszłym tygodniu Tal Be’ery, kierownik ds. badań nad bezpieczeństwem w ZenGo, opisał lukę w zabezpieczeniach, która umożliwiała jego zespołowi wielokrotny dostęp do wiadomości View Once.
Zasadniczo, jak powiedział Be’ery wyjaśniawiadomości View Once są ograniczone do wyświetlania w aplikacjach mobilnych tylko po wyświetleniu. Media nadal istnieją na serwerach WhatsApp. Jeśli użytkownik może znaleźć adres URL pliku multimedialnego, może uzyskać dostęp do wiadomości lub pliku multimedialnego, który miał zniknąć.
Mashable Prędkość światła
Be’ery skontaktował się z oficjalnymi kanałami z firmą macierzystą WhatsApp, Meta, i zgłosił exploit za pośrednictwem ich programu bug bounty 26 sierpnia. Było jednak za późno. Be’ery wkrótce odkrył, że błąd był już w użyciu, ponieważ pojawiło się rozszerzenie Chrome umożliwiające użytkownikom dostęp do już wyświetlonych wiadomości View Once za pośrednictwem aplikacji internetowej WhatsApp. ZenGo upubliczniło exploit i opublikowało swój raport w zeszłym tygodniu, 9 września.
Naprawa i wykorzystanie Meta #2
Wygląda na to, że problem został potraktowany poważnie przez Meta, przynajmniej po tym, jak Be’ery upublicznił exploit. Meta wydaje się, że wydała poprawkę na błąd WhasApp View Once 12 września.
Zgodnie z nowy raport autorstwa Be’ery’ego, poprawka Meta „zmienia sposób, w jaki wiadomości multimedialne View Once są zapisywane w bazach danych aplikacji i redaguje część informacji, które umożliwiają przeglądanie multimediów”.
Wygląda na to, że ta poprawka uszkodziła również wcześniej wspomniane rozszerzenie przeglądarki Chrome „View Once Photos Bypass”.
Tweet mógł zostać usunięty
Jednak, jak twierdzi Be’ery, poprawka „nadal nie jest wystarczająca” i można ją wykorzystać, stosując obejście. W rzeczywistości, jak twierdzi Be’ery odkrytyTwórcy rozszerzenia View Once bypass do przeglądarki Chrome opublikowali aktualizację informującą o odkryciu nowego sposobu na wykorzystanie luki w zabezpieczeniach, który pozwala odzyskać dostęp do multimediów View Once.
Piwo też opublikowany film pokazujący, że wiadomości z opcją Wyświetl raz są nadal dostępne.
Meta poinformowała Mashable, że podejmuje wiele kroków, aby poradzić sobie z problemem View Once. Początkowa poprawka miała być tymczasowa, ponieważ Meta restrukturyzuje sposób działania View Once w WhatsApp w sieci.
„Jak już wcześniej wspomnieliśmy, jesteśmy w trakcie wdrażania wielu aktualizacji View Once w sieci” — powiedział rzecznik WhatsApp dla Mashable. „Te dodatkowe aktualizacje są już wkrótce”.
AKTUALIZACJA: 18 września 2024 r., 14:04 czasu wschodniego Niniejszy artykuł został zaktualizowany o oświadczenie i dodatkowe informacje od Meta.
