Сообщения с однократным просмотром в WhatsApp оказались доступны для повторного просмотра
В функции сообщений в мессенджере WhatsApp, которые можно увидеть только один раз (после прочтения текст исчезает), обнаружена серьезная уязвимость. Она позволяет злоумышленникам обходить функцию «Однократный просмотр» и просматривать сообщения повторно.
«Однократный просмотр» отличается от функции «исчезающих» сообщений, в которых можно указать нужный срок исчезновения: через 24 часа, семь дней или 90 дней. Основное отличие состоит в том, что «одноразовые» сообщения в WhatsApp защищены от копирования и пересылки.
С помощью специальной кнопки с символом блокировки (замком) можно отправить сообщение, которое получатель сможет открыть только один раз. Затем при открытии чата вновь такое сообщение уже не будет доступно — оно будет автоматически удалено. Вместо него в чате появится надпись: «Время на чтение этого сообщения вышло. Попросите отправителя переслать его снова».
Такая функция пригодится для пересылки конфиденциальной информации: пользователям не придется самостоятельно удалять сообщения из чата, чтобы защитить секретные данные. Отмечается также, что мессенджер не даст получателю возможности сделать скриншот этого отправления, их нельзя будет переслать или скопировать. Этим «одноразовые» сообщения отличаются от исчезающих через установленное время: пользователь может скопировать и сохранить содержание исчезающего сообщения до того, как оно исчезнет.
Важно отметить, что однократный просмотр блокирует создание скриншотов только на мобильных устройствах. На десктопных и в веб-версии WhatsApp блокировка не поддерживается.
Команда Zengo X Research Team выяснила, что Meta не предусмотрела несколько важных моментов при разработке. Лазейка, найденная исследователями, позволяет злоумышленникам легко сохранять и делиться копиями материалов, отправленных в режиме однократного просмотра. Технический директор Zengo Тал Бе’ери сообщил, что они уведомили Meta о своих находках, но, когда выяснилось, что уязвимость уже эксплуатируется, решили обнародовать информацию, чтобы обезопасить пользователей WhatsApp.
Оказывается, когда активирован однократный просмотр, сообщения отправляются на все устройства получателя в зашифрованном виде. Они практически идентичны обычным сообщениям, но содержат URL-адрес зашифрованных данных на веб-сервере WhatsApp и ключ для их расшифровки. Кроме того, такие сообщения имеют флаг «Однократный просмотр» со значением «true».
Бе’ери поясняет: одноразовые сообщения приходят на все устройства получателя, включая те, которым не разрешено их отображать. Более того, данные не удаляются с серверов WhatsApp сразу после загрузки. А значит, ограничить доступ к медиафайлам только контролируемыми средами и платформами невозможно.
Проблема усугубляется тем, что некоторые версии сообщений в режиме однократного просмотра содержат предварительные просмотры медиафайлов низкого качества, доступные без полной загрузки. Изменив флаг «Однократный просмотр» на «false», можно пересылать и делиться данными, которые изначально должны быть защищены.
Несмотря на то что исследователи Zengo первыми официально сообщили об этой проблеме Meta и опубликовали отчет, выяснилось, что уязвимость эксплуатируется уже как минимум год. За это время нарушители даже успели создать специальные расширения для браузеров, упрощающие процесс обхода защиты.
По данным BleepingComputer, в Сети появились инструменты для обхода функции «Однократный просмотр». В частности, обнаружено как минимум два расширения для браузера Google Chrome, позволяющих отключать защитный флаг и получать доступ к одноразовым сообщениям. Одно из этих расширений было выпущено еще в 2023 году.
Представитель WhatsApp заверил: компания уже работает над обновлениями однократного просмотра для веб-версии приложения. В свете выявленных проблем компания настоятельно рекомендует пользователям отправлять одноразовые сообщения только проверенным контактам, которым они полностью доверяют.
«Детали», Ю.Л. Фото: Pixabay √
- Читайте также:
- В WhatsApp вскоре можно будет общаться с пользователями других мессенджеров
- Не благодарите! Как практически незаметно для пользователя заблокировать контакт в WhatsApp
- WhatsApp предупреждает об угрозе конфиденциальности из-за возможности общения с другими мессенджерами
Будьте всегда в курсе главных событий:
Подписывайтесь на ТГ-канал "Детали: Новости Израиля"