Новости Крах однократного просмотра: любой может сохранить ваши данные в WhatsApp

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.921
Репутация
62.740
Реакции
277.136
RUB
0
Одна из главных функций безопасности в мессенджере оказалась ненадежной.

image



В популярном мессенджере WhatsApp, аудитория которого насчитывает более 2 миллиардов человек по всему миру, обнаружена серьезная уязвимость. Она позволяет злоумышленникам обходить функцию «Однократный просмотр» и просматривать сообщения повторно.

Функция появилась в WhatsApp три года назад. С ее помощью пользователи могут делиться фотографиями, видео и голосовыми сообщениями, которые автоматически удаляются из чата после первого открытия. Согласно заявлению компании Meta*, получатель не может пересылать, делиться, копировать или делать скриншоты таких сообщений.

Важно отметить, что однократный просмотр блокирует создание скриншотов только на мобильных устройствах. На десктопных и в веб-версии WhatsApp блокировка не поддерживается.

Команда Zengo X Research Team выяснила, что Meta не предусмотрела несколько важных моментов при разработке. Лазейка, найденная исследователями, позволяет злоумышленникам легко сохранять и делиться копиями материалов, отправленных в режиме однократного просмотра. Технический директор Zengo Тал Бе'ери сообщил, что они уведомили Meta о своих находках, но, когда выяснилось, что уязвимость уже эксплуатируется, решили обнародовать информацию, чтобы обезопасить пользователей WhatsApp.

Оказывается, когда активирован однократный просмотр, сообщения отправляются на все устройства получателя в зашифрованном виде. Они практически идентичны обычным сообщениям, но содержат URL-адрес зашифрованных данных на веб-сервере WhatsApp и ключ для их расшифровки. Кроме того, такие сообщения имеют флаг «Однократный просмотр» со значением «true».

Бе’ери поясняет: одноразовые сообщения приходят на все устройства получателя, включая те, которым не разрешено их отображать. Более того, данные не удаляются с серверов WhatsApp сразу после загрузки. А значит, ограничить доступ к медиафайлам только контролируемыми средами и платформами невозможно.

Проблема усугубляется тем, что некоторые версии сообщений в режиме однократного просмотра содержат предварительные просмотры медиафайлов низкого качества, доступные без полной загрузки. Изменив флаг «Однократный просмотр» на «false», можно пересылать и делиться данными, которые изначально должны быть защищены.

По мнению Бе'ери, функция должна быть либо кардинально переработана, либо полностью отменена. Несмотря на то, что исследователи Zengo первыми официально сообщили об этой проблеме Meta и опубликовали отчет, выяснилось, что уязвимость эксплуатируется уже как минимум год. За это время нарушители даже успели создать специальные расширения для браузеров, упрощающие процесс обхода защиты.

По данным BleepingComputer , в сети уже появились инструменты для обхода функции «Однократный просмотр». В частности, обнаружено как минимум два расширения для браузера Google Chrome, позволяющих отключать защитный флаг и получать доступ к одноразовым сообщениям. Одно из этих расширений было выпущено еще в 2023 году.

Представитель WhatsApp заверил: компания уже работает над обновлениями однократного просмотра для веб-версии приложения. В свете выявленных проблем компания настоятельно рекомендует пользователям отправлять одноразовые сообщения только проверенным контактам, которым они полностью доверяют.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.







 
Фикс для бага обхода WhatsApp View Once продержался всего неделю.


Недавно выпущенное Meta (признана экстремистской и запрещена в России) исправление работы функциональности View Once в WhatsApp продержалось всего неделю.

whatsapp_view_once_beaten_news.png


Специалисты нашли способ обойти его и вновь многократно просматривать «одноразовые» сообщения. На прошлой неделе мы писали об угрожающем конфиденциальности пользователей баге: злоумышленники могут обойти принцип единоразового просмотра сообщения («View once»).

Суть заключалась в том, что API-серверы воспринимали View Once как обычные сообщения, но с определённым флагом, который давал понять, что такое сообщение нужно показать лишь один раз. Условное вредоносное приложение, способное обмениваться данными с упомянутыми серверами, могло просто проигнорировать этот флаг.

Поэтому разработчики WhatsApp немного изменили код, что должно было затруднить обход View Once. Первое время фикс действительно работал. Ряд пользователей даже жаловался на неработоспособность расширений для сохранения контента. Тем не менее, как выяснили специалисты компании Zengo, исправление оказалось неполным, так как сам корень уязвимости всё ещё присутствует в реализации View once.

«Изначально решение разработчиков выглядит неплохим шагом в верном направлении, однако его всё равно недостаточно. Основная проблема View Once в самой среде, у которой не должно быть возможности повторно показывать содержащие медиаконтент сообщения. И эта проблема до сих пор остаётся актуальной», — пишет Тал Беэри из Zengo.

Свои выводы, как и метод обхода фикса, эксперты представили в выложенном на YouTube видео:




 
Сверху Снизу