Проблема с функцией “исчезающих медиа” в WhatsApp, обнаруженная технической командой криптокошелька Zengo, частично устранена спустя несколько месяцев после её выявления.
Что произошло?
Функция “Просмотр один раз” была представлена WhatsApp для защиты конфиденциальности пользователей, позволяя отправлять фото и видео, которые автоматически удаляются после просмотра.
Однако в августе команда Zengo обнаружила, что эту функцию можно легко обойти при использовании веб-приложения WhatsApp. Стартап сообщил об уязвимости компании, но, узнав, что проблема уже активно эксплуатируется, обнародовал свои выводы, чтобы защитить пользователей.
WhatsApp оперативно выпустил патч, который, как оказалось, всё ещё позволял просматривать удалённые изображения. Теперь мессенджер утверждает, что выпустил более комплексное обновление программного обеспечения.
Zengo описал проблему в подробном блоге в сентябре.
Исследования команды Zengo
Соучредитель Zengo Таль Беэри заявил:
«Разрабатывая ведущий криптокошелёк на основе мультипартитных вычислений (MPC), команда Zengo X Research исследует ближайшую родственную область — приложения для мгновенных сообщений. В результате таких исследований мы ранее выявляли и сообщали об аналогичных проблемах конфиденциальности».
Он добавил:
«Мы были удивлены, обнаружив, что, хотя “Просмотр один раз” предназначен для платформ, где приложение может контролировать отображение контента и предотвращать его несанкционированное использование, это не было реализовано на сервере API WhatsApp».
Команда разработала собственный неофициальный клиент WhatsApp на основе исходного кода веб-клиента, чтобы продемонстрировать уязвимость, и уведомила Meta.
Исправление работает, но не идеально
В новом блоге, опубликованном в понедельник, Беэри отметил, что хотя исправление улучшило ситуацию, оно всё ещё не идеально.
«Исправление действительно решает основную проблему: устройства получателей, которые не должны отображать сообщения “Просмотр один раз”, их больше не получают. Таким образом, простая эксплуатация через модифицированный клиент WhatsApp Web невозможна».
Однако он добавил:
«Исправление всё же позволяет другим устройствам отправителя, которые не должны отображать сообщение “Просмотр один раз”, получить его. Это создаёт ненужный риск, так как увеличивает потенциальную поверхность атаки. Например, такие сообщения могут быть восстановлены с устройств злоумышленниками».
Заключение
Zengo высоко оценил усилия WhatsApp, но подчеркнул необходимость дальнейших доработок, чтобы полностью устранить риски. Пользователям мессенджера стоит оставаться бдительными и обновлять приложение до последней версии.