В мессенджере WhatsApp*, который используют более 2 млрд пользователей по всему миру, обнаружили проблему, которая используется для обхода функции «Однократный просмотр» (View once) и повторного просмотра «одноразовых» сообщений.
Функция View once появилась в WhatsApp три года назад и позволяет пользователям делиться фотографиями, видео и голосовыми сообщениями в частном порядке. При этом получатель не имеет возможности переслать, поделиться, скопировать или сделать скриншот сообщения, которое автоматически исчезнет из чата после просмотра.
Однако функция однократного просмотра блокирует скриншоты отправляемых сообщений только на мобильных устройствах, поскольку десктопные и веб-платформы блокировку скриншотов не поддерживают. Исследователи из Zengo обнаружили, что разработчики мессенджера в целом реализовали эту функцию «небрежно», что позволяло легко сохранять и распространять копии самоуничтожающихся сообщений.
Специалисты пишут, что уже уведомили о проблеме разработчиков, однако решили обнародовать информацию об ошибке публично, «чтобы защитить конфиденциальность пользователей WhatsApp».
Как установили исследователи, функция View once используется для отправки зашифрованных мультимедийных сообщений на все устройства получателя (включая те, которым запрещено их показывать). Такие сообщения практически идентичны обычным, но содержат URL-адрес зашифрованных данных, размещенных на веб-сервере WhatsApp (blob store), а также ключ для их расшифровки. Кроме того, сообщения View once имеют флаг одноименный флаг, установленный в значение «true».
Помимо того, что сообщения View once отправляются на все устройства пользователя, исследователи заметили, что после загрузки они не сразу удаляются с серверов WhatsApp. По словам специалистов, это делает невозможным ограничение доступа к медиа в контролируемых средах, особенно с учетом того, что некоторые версии сообщений View once содержат низкокачественные превью, которые можно просматривать без скачивания.
Более того, упомянутый выше флаг View once можно легко обойти, установив его в значение false, что позволит загружать, пересылать и делиться такими сообщениями.
«Хуже отсутствия приватности может быть только ложное чувство приватности, когда пользователям внушают, что некоторые формы общения являются приватными, но на самом деле это не так. В настоящее время функция WhatsApp View once представляет собой яркий пример ложной приватности и требует либо тщательного пересмотра, либо от нее следует отказаться», — пишут эксперты.
Исследователи предупредили, что уязвимость для сохранения сообщений View Once уже около года подвергается злоупотреблениям. А те, кто эксплуатирует это баг, даже создают специальные расширения для браузеров, чтобы упростить процесс.
По данным издания Bleeping Computer, существует как минимум два расширения для Google Chrome, одно из которых выпущено в 2023 году. Они могут отключать флаг View Once, позволяя обойти эту защиту.
Разработчики WhatsApp сообщили журналистам, что в настоящее время они уже работают над исправлением для View Once.
*Принадлежит Meta Platforms, деятельность которой признана экстремисткой и запрещена в России.