Luka w prywatności w WhatsApp, komunikatorze z ponad 2 miliardami użytkowników na całym świecie, jest wykorzystywana przez atakujących do omijania funkcji View Once (pokaż tylko raz) i ponownego przeglądania wiadomości.
Meta twierdzi, że funkcja View Once w WhatsApp (wprowadzona trzy lata temu) umożliwia użytkownikom prywatne udostępnianie zdjęć, filmów i wiadomości głosowych, ponieważ odbiorca nie powinien być w stanie przesyłać dalej, udostępniać, kopiować ani robić zrzutów ekranu tych wiadomości, ponieważ automatycznie znikną z czatów po jednokrotnym otwarciu.
Gdy wyślesz zdjęcie, film lub wiadomość głosową w trybie jednokrotnego wyświetlenia, nie będziesz mógł ich ponownie wyświetlić. Wszelkie zdjęcia lub filmy, które wyślesz, nie zostaną zapisane w Zdjęciach lub Galerii odbiorcy. Odbiorca również nie może zrobić zrzutu ekranu czegokolwiek, co wyślesz w trybie jednokrotnego wyświetlenia
wyjaśnia firma na swojej stronie wsparcia
Jednak View Once blokuje użytkownikom WhatsApp robienie zrzutów ekranu tylko na urządzeniach mobilnych. Platformy desktopowe i webowe nie obsługują blokowania zrzutów ekranu.
WhatsApp nie do końca prywatny
Ponadto zespół badawczy Zengo X odkrył, że Meta wdrożyła tę funkcję w sposób, który badacze opisali jako “zaniedbany”. Dlaczego? Umożliwiał atakującym łatwe zapisywanie i udostępnianie kopii wiadomości z View Once.
— Odpowiedzialnie ujawniliśmy nasze odkrycia Meta, ale gdy zdaliśmy sobie sprawę, że problem jest już wykorzystywany >>na wolności<<, postanowiliśmy go upublicznić, aby chronić prywatność użytkowników WhatsApp — powiedział Tal Be’ery, dyr. ds. technologii w Zengo.
Jak odkryli badacze bezpieczeństwa Zengo, funkcja View Once jest używana do:
- Wysyłania zaszyfrowanych wiadomości multimedialnych do wszystkich urządzeń odbiorcy
- Wiadomości, które są prawie identyczne z normalnymi, ale zawierają URL do zaszyfrowanych danych hostowanych na serwerze webowym WhatsApp (blob store) oraz klucz do ich odszyfrowania
Co więcej, wiadomości prywatne ustawiają flagę View Once na “true”.
Fałszywe poczucie prywatności
Be’ery wyjaśnił, że funkcja mająca dawać prywatność dla treści w WhatsApp pozwala użytkownikom wysyłać wiadomości, które powinny być wyświetlane tylko raz, ale wiadomości są wysyłane do wszystkich urządzeń odbiorcy — w tym tych, które nie są dozwolone do ich wyświetlania. Dodatkowo wiadomości nie są natychmiast usuwane z serwerów WhatsApp po pobraniu.
To sprawia, że ograniczenie ekspozycji mediów do kontrolowanych środowisk i platform jest niemożliwe, zwłaszcza że niektóre wersje wiadomości View Once zawierają również niskiej jakości podglądy mediów, które można wyświetlić bez pobierania.
Ponadto wiadomości tego typu działają jak zwykłe wiadomości, ale jedynie z etykietą View Once. Atakujący mogą obejść tę funkcję prywatności, ustawiając etykietę na “false”, co pozwala na pobranie, przesłanie i udostępnienie wiadomości.
— Prywatność jest kluczowa dla komunikatorów. WhatsApp uznał to, wspierając domyślnie szyfrowanie end-to-end (E2EE) dla rozmów swoich użytkowników — podsumował Be’ery. I dodał: — Jednak jedyną rzeczą gorszą od braku prywatności jest fałszywe poczucie prywatności, w którym użytkownicy są przekonani, że niektóre formy komunikacji są prywatne, podczas gdy w rzeczywistości tak nie jest. Obecnie funkcja View Once w WhatsApp to tępa forma fałszywej prywatności i powinna zostać gruntownie naprawiona lub porzucona.
Chociaż badacze Zengo są pierwszymi, którzy zgłosili problem Meta i opublikowali raport szczegółowo opisujący ten problem prywatności, luka była wykorzystywana do zapisywania wiadomości View Once od co najmniej roku. Osoby ją wykorzystujące nawet tworzyły dodatki do przeglądarek, aby usprawnić cały proces.
Vault-Tech.pl wie o co najmniej dwóch rozszerzeniach do Google Chrome, z których jedno zostało wydane w 2023 r., które mogą wyłączyć flagę View Once, umożliwiając obejście tej funkcji.
WhatsApp Web zapewnia pozorne bezpieczeństwo dla View Once
WhatsApp Web nie pozwala przeglądać wiadomości typu View Once (czyli takich, które można zobaczyć tylko jeden raz) po ich otwarciu. WhatsApp Web obsługuje te wiadomości w taki sam sposób jak aplikacja mobilna — po ich wyświetleniu treść zostaje trwale usunięta i nie można jej ponownie otworzyć. Ale można jednak zapisywać zrzuty ekranowe czy nagrywać ekran, bo wersja desktopowa nie ma takich możliwości ograniczania dostępu, jak wersja mobilna.
Autor: Sebastian Zbywarski, dziennikarz Vault-Tech.pl
Doświadczony specjalista ds. prywatności i cyberbezpieczeństwa, który łączy głęboką pasję do technologii i sztucznej inteligencji z zaawansowaną wiedzą w dziedzinie cyberbezpieczeństwa. Skupia się na opracowywaniu i wdrażaniu strategii ochrony danych, które są zarówno skuteczne, jak i zgodne z najnowszymi trendami i regulacjami w zakresie prywatności. Pracuje w branży już ponad 8 lat.
Czytaj też: