💬 Ошибка конфиденциальности WhatsApp до сих пор не исправлена, утверждает криптостартап, который ее обнаружил

Ошибка конфиденциальности WhatsApp до сих пор не исправлена, утверждает криптостартап, который ее обнаружил

Проблема с исчезающими медиафайлами в WhatsApp наконец-то была устранена спустя несколько месяцев после того, как ее впервые обнаружила техническая команда стартапа криптовалютного кошелька Zengo.

Функция «Просмотреть один раз» была введена WhatsApp для защиты конфиденциальности пользователей, позволяя им отправлять фотографии и видео, которые автоматически удаляются после просмотра.

Однако в августе команда Zengo обнаружила, что эту функцию можно «тривиально обойти» при использовании веб-приложения платформы. Команда утверждает, что сообщила о проблеме WhatsApp, но когда стало ясно, что проблема уже «эксплуатировалась в дикой природе», она опубликовала свои выводы «для защиты конфиденциальности пользователей WhatsApp».

WhatsApp ответил быстрым патчем, но, как сообщается, это все еще позволяло просматривать якобы удаленные изображения. Теперь, как сообщает платформа обмена сообщениями, она выпустила более комплексное обновление программного обеспечения.

Zengo подробно описала обнаруженную проблему в длинном сообщении в блоге в сентябре.

«Продолжая разрабатывать новаторский в мире криптокошелек MPC, исследовательская группа Zengo X изучает его ближайшего родственника — домен приложений для обмена мгновенными сообщениями (IM)», — написал соучредитель Zengo Тал Биэри. «В результате такого исследования мы смогли выявить и сообщить о важных проблемах с конфиденциальностью в прошлом».

Он добавил: «Когда мы изучили детали реализации, мы были очень удивлены, обнаружив, что, хотя функция «Просмотреть один раз» предназначена только для платформ, на которых приложение может контролировать отображаемый контент и предотвращать его несанкционированное использование другими процессами, она не применяется API-сервером WhatsApp.

«В результате клиент на любой платформе может загрузить сообщение и сделать обещание «Просмотреть один раз» недействительным.

Затем Биэри рассказал, как его команда создала собственный неофициальный клиент WhatsApp на основе открытой реализации веб-клиента WhatsApp, и проинформировал об этом Meta.

Подробнее: Генеральный директор Bybit утверждает, что китайские пользователи могут обходить ограничения с помощью VPN

Zengo говорит, что исправление стало лучше, но все еще не идеально

В другом сообщении в блоге от понедельника Биэри объяснил, что, хотя исправление и является «значительным улучшением по сравнению с первоначальной точкой», оно не идеально.

«Это исправление действительно решает основную проблему: устройства получателя, на которых не должно отображаться сообщение «Просмотреть один раз», не получают его», — пишет он.

«В результате тривиальная эксплуатация с модифицированным веб-клиентом WhatsApp не может работать».

Однако он добавляет: «Исправление по-прежнему позволяет другим устройствам отправителя, которые не должны отображать сообщение View Once, получать его. Это может представлять ненужный риск, поскольку увеличивает поверхность атаки без причины, поскольку эти сообщения не отображаются на таких устройствах.

«Например, сообщение View Once может быть извлечено с этих устройств злоумышленниками с целью проведения криминалистических исследований».