Ένα ελάττωμα απορρήτου στο WhatsApp, εκμεταλλεύται από εισβολείς για να παρακάμψουν τη λειτουργία “View Once” της εφαρμογής και να προβάλουν ξανά τα μηνύματα.
Δείτε επίσης: Η Meta αποκάλυψε δραστηριότητες των Ιρανών hackers APT42 στο WhatsApp
Η Meta λέει ότι η λειτουργία “View Once” του WhatsApp (που εισήχθη πριν από τρία χρόνια), επιτρέπει στους χρήστες να μοιράζονται φωτογραφίες, βίντεο και φωνητικά μηνύματα ιδιωτικά, τα οποία ο παραλήπτης δεν θα μπορεί να προωθήσει, να μοιραστεί ή να αντιγράψει και θα εξαφανιστούν αυτόματα από τις συνομιλίες αφού ανοιχτούν μία φορά.
“Μόλις στείλετε μία φωτογραφία, ένα βίντεο ή φωνητικό μήνυμα μέσω view once, δεν θα μπορείτε να το δείτε ξανά“, εξηγεί η εταιρεία στον ιστότοπο υποστήριξής της. “Οι φωτογραφίες ή τα βίντεο που στέλνετε δεν θα αποθηκευτούν στις Φωτογραφίες ή στη Γκαλερί του παραλήπτη. Επίσης, ο παραλήπτης δεν μπορεί να τραβήξει στιγμιότυπο οθόνης για οτιδήποτε στέλνετε χρησιμοποιώντας το view once.“
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Ωστόσο, το “View Once” θα αποκλείσει τους χρήστες του WhatsApp μόνο από το να τραβήξουν στιγμιότυπα οθόνης σε κινητά, αφού οι επιτραπέζιοι υπολογιστές και οι πλατφόρμες ιστού δεν υποστηρίζουν αποκλεισμό στιγμιότυπων οθόνης.
Επιπλέον, η ερευνητική ομάδα της Zengo X διαπίστωσε ότι η Meta εφάρμοσε αυτή τη δυνατότητα με αυτό που οι ερευνητές περιέγραψαν ως «αμελή τρόπο», επιτρέποντας στους εισβολείς να αποθηκεύουν και να μοιράζονται εύκολα αντίγραφα των μηνυμάτων «View Once».
Δείτε ακόμα: WhatsApp: Δίνει στους διαχειριστές κοινότητας περισσότερο έλεγχο
«Είχαμε αποκαλύψει υπεύθυνα τα ευρήματά μας στη Meta, αλλά όταν συνειδητοποιήσαμε ότι το ζήτημα έχει ήδη γίνει αντικείμενο εκμετάλλευσης, αποφασίσαμε να το δημοσιοποιήσουμε για να προστατεύσουμε το απόρρητο των χρηστών του WhatsApp», δήλωσε ο CTO της Zengo, Tal Be’ery.
Όπως διαπίστωσαν οι ερευνητές ασφαλείας της Zengo, η λειτουργία “View Once” χρησιμοποιείται για την αποστολή κρυπτογραφημένων μηνυμάτων πολυμέσων σε όλες τις συσκευές του παραλήπτη. Επιπλέον, αυτά τα μηνύματα ορίζουν τη σημαία “View Once” σε “true“.
Ο Be’ery εξήγησε ότι η δυνατότητα “View Once” του WhatsApp επιτρέπει στους χρήστες να στέλνουν μηνύματα που πρέπει να προβληθούν μόνο μία φορά. Ωστόσο, τα μηνύματα αποστέλλονται σε όλες τις συσκευές του δέκτη, συμπεριλαμβανομένων εκείνων που δεν επιτρέπεται να εμφανιστούν. Επιπλέον, τα μηνύματα δεν διαγράφονται αμέσως από τους διακομιστές του WhatsApp μετά τη λήψη.
Αυτό καθιστά αδύνατο τον περιορισμό της έκθεσης των μέσων σε ελεγχόμενα περιβάλλοντα και πλατφόρμες, ειδικά επειδή ορισμένες εκδόσεις των μηνυμάτων “View Once” περιέχουν επίσης προεπισκοπήσεις πολυμέσων χαμηλής ποιότητας που μπορούν να προβληθούν χωρίς λήψη.
Επιπλέον, τα μηνύματα “View Once” λειτουργούν όπως τα κανονικά μηνύματα αλλά με τη σημαία “View Once”. Ωστόσο, οι εισβολείς μπορούν να παρακάμψουν αυτήν τη δυνατότητα απορρήτου ορίζοντας αυτήν τη σημαία σε false, επιτρέποντας τη λήψη, την προώθηση και την κοινή χρήση του μηνύματος.
Ενώ οι ερευνητές της Zengo είναι οι πρώτοι που ανέφεραν το ζήτημα στη Meta και δημοσίευσαν μια αναφορά που περιγράφει λεπτομερώς αυτό το ζήτημα απορρήτου, το ελάττωμα έχει καταχραστεί για την αποθήκευση μηνυμάτων “View Once” εδώ και τουλάχιστον έναν χρόνο, με αυτούς που το εκμεταλλεύονται να δημιουργούν ακόμη και πρόσθετα προγράμματος περιήγησης.
Δείτε επίσης: Το WhatsApp ξεκινά να δοκιμάζει εφέ κλήσεων και φίλτρα AR
Τα σφάλματα απορρήτου αναφέρονται σε ευπάθειες σε συστήματα ή πρακτικές που θέτουν σε κίνδυνο την εμπιστευτικότητα και την ακεραιότητα των προσωπικών πληροφοριών, όπως στη δυνατότητα “View Once” του WhatsApp. Αυτά τα ελαττώματα μπορεί να προκύψουν από ανεπαρκή μέτρα ασφαλείας, ακατάλληλο χειρισμό δεδομένων ή ανεπαρκείς διαδικασίες συναίνεσης χρήστη. Μπορεί να οδηγήσουν σε μη εξουσιοδοτημένη πρόσβαση, παραβιάσεις δεδομένων ή κακή χρήση ευαίσθητων πληροφοριών, θέτοντας σημαντικούς κινδύνους τόσο για άτομα όσο και για οργανισμούς. Η αντιμετώπιση ελαττωμάτων απορρήτου απαιτεί ένα ισχυρό πλαίσιο πολιτικών, τεχνολογικών διασφαλίσεων και συνεχούς εκπαίδευσης για να διασφαλιστεί ότι το απόρρητο προστατεύεται αποτελεσματικά σε έναν όλο και πιο ψηφιακό κόσμο.
Πηγή: bleepingcomputer