Дефект конфиденциальности в WhatsApp, мессенджере с более чем 2 миллиардами пользователей по всему миру, используется злоумышленниками для обхода функции «Просмотреть один раз» приложения и повторного просмотра сообщений.
По словам Meta, функция WhatsApp «View once» (появившаяся три года назад) позволяет пользователям делиться фотографиями, видео и голосовыми сообщениями в приватном режиме, при этом получатель не должен иметь возможности пересылать, делиться, копировать или делать скриншоты сообщений, поскольку они автоматически исчезают из чатов после однократного открытия.
«Как только вы отправите фото, видео или голосовое сообщение, вы не сможете просмотреть его снова», - объясняет компания на своем сайте поддержки.
Отправленные фотографии или видео не будут сохранены в «Фото» или «Галерее» получателя. Получатель также не сможет сделать скриншот всего, что вы отправили, используя функцию «Просмотреть один раз»».
Однако «Просмотр один раз» не позволит пользователям WhatsApp делать скриншоты отправляемых сообщений только на мобильных устройствах, поскольку настольные и веб-платформы не поддерживают блокировку скриншотов.
Более того, команда исследователей Zengo X обнаружила, что Meta реализовала эту функцию, по словам исследователей, «небрежным образом», что позволило злоумышленникам легко сохранять и делиться копиями сообщений «View once».
«Мы ответственно подошли к раскрытию наших результатов Meta, но когда мы поняли, что проблема уже используется в дикой природе, мы решили обнародовать ее, чтобы защитить конфиденциальность пользователей WhatsApp», - сказал технический директор Zengo Тал Беэри (Tal Be'ery).
Как выяснили исследователи безопасности Zengo, функция «View once» используется для отправки зашифрованных мультимедийных сообщений на все устройства получателя - сообщений, практически идентичных обычным, но содержащих URL-адрес зашифрованных данных, размещенных на веб-сервере WhatsApp («blob store»), и ключ для их расшифровки. Кроме того, в сообщениях «Просмотреть один раз» флаг «Просмотреть один раз» устанавливается на «true».
Беери объяснил, что функция WhatsApp «Просмотреть один раз» позволяет пользователям отправлять сообщения, которые должны быть просмотрены только один раз. При этом сообщения отправляются на все устройства получателя, включая те, которым запрещено их показывать. Кроме того, после загрузки сообщения не сразу удаляются с серверов WhatsApp.
Это делает невозможным ограничение доступа СМИ к контролируемым средам и платформам, тем более что некоторые версии сообщений «View once» также содержат низкокачественные медиапревью, которые можно просматривать без загрузки.
Кроме того, сообщения «Посмотреть один раз» работают как обычные сообщения, но с флагом «Посмотреть один раз». Однако злоумышленники могут обойти эту функцию конфиденциальности, установив флаг «Просмотреть один раз» на false, что позволит загружать, пересылать и делиться сообщениями.
«Конфиденциальность крайне важна для мгновенного обмена сообщениями. WhatsApp признает это, поддерживая End-to-End Encryption (E2EE) для разговоров своих пользователей по умолчанию», - заключил Беери.
Однако хуже отсутствия приватности может быть только ложное чувство приватности, когда пользователям внушают, что некоторые формы общения являются приватными, а на самом деле это не так». В настоящее время функция WhatsApp «Просмотр один раз» представляет собой грубую форму ложной конфиденциальности и должна быть либо тщательно исправлена, либо от нее следует отказаться».
Хотя исследователи Zengo первыми сообщили о проблеме в Meta и опубликовали отчет с подробным описанием этой проблемы конфиденциальности, дефектом для сохранения сообщений «View Once» злоупотребляют уже не менее года, а те, кто его эксплуатирует, даже создают дополнения для браузера, чтобы упростить весь процесс.
BleepingComputer известно как минимум о двух расширениях для Google Chrome, одно из которых было выпущено в 2023 году, которые могут отключать флаг View Once, позволяя обойти эту функцию.
Компания Meta ответила на электронное письмо BleepingComputer, касающееся обхода, сообщив, что в настоящее время вносит изменения в функцию View Once. В то время как в WhatsApp Web появится исправление, неясно, можно ли по-прежнему использовать недостаток конфиденциальности в пользовательских приложениях WhatsApp.
«Наша программа по борьбе с ошибками - это важный способ получения ценной обратной связи от внешних исследователей, и мы уже в процессе распространения обновлений для функции View Once в веб-версии», - сказал представитель WhatsApp изданию BleepingComputer. Мы продолжаем призывать пользователей отправлять сообщения «view once» только тем людям, которых они знают и которым доверяют».
177Новый вариант мошенничества, связанного с секстортом, теперь нацелен на супругов, которые утверждают, что их муж или жена изменяет им, и предоставляют ссылки на предполагаемые доказательства.
199Transport for London, городское агентство общественного транспорта, сообщило сегодня, что его сотрудники ограничили доступ к системам и электронной почте в связи с мерами, принятыми в ответ на воскресную кибератаку.
160Американский гигант по прокату автомобилей Avis уведомил клиентов о том, что в прошлом месяце неизвестные злоумышленники взломали одно из его бизнес-приложений и похитили часть их личной информации.
151Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии