WhatsApp a făcut recent obiectul unor critici după ce s-a descoperit o vulnerabilitate semnificativă în funcția sa View Once, care permite atacatorilor să evite protecțiile de confidențialitate. Această funcție era menită să permită utilizatorilor să trimită imagini și videoclipuri care să fie văzute doar o dată. Totuși, s-a descoperit că poate fi exploatată ușor prin intermediul unor clienți web WhatsApp modificați.
TL;DR
- Vulnerabilitate în funcția View Once a WhatsApp permite ocolirea măsurilor de confidențialitate.
- Problema a fost exploatată folosind extensii de browser pentru WhatsApp Web.
- Meta a lansat o soluție server-side în noiembrie 2024.
- Soluția previne trimiterea media criptate View Once către clienții web.
- Metadata rămâne vizibilă, ridicând întrebări despre confidențialitate.
Vulnerabilitate în View Once
Funcția View Once a fost gândită pentru a mări confidențialitatea prin prevenirea redirecționării, distribuirii sau copierii materialelor sensibile. Totuși, specialistul în securitate, Tal Be’ery, a constatat că protecția poate fi evitată prin extensii de browser care modifică WhatsApp Web. Aceste extensii ignorau semnalul View Once aplicat materialului și permiteau salvarea sau redistribuirea acestuia.
Soluțiile Meta
Problema a fost dezvăluită în mod responsabil către Meta la începutul anului 2024, iar un remediu parțial a fost lansat în septembrie. Totuși, atacatorii și-au adaptat rapid uneltele, făcând remedierea ineficace. În noiembrie 2024, Meta a lansat o soluție server-side mai robustă care previne complet accesul neautorizat la media View Once pe clienții web.
Preocupări legate de Metadata
Deși soluția a rezolvat vulnerabilitatea imediată, au apărut noi preocupări legate de expunerea metadata. În timp ce E2EE protejează conținutul mesajului, metadata (ID-urile expeditorului și receptorului, tipurile mesajelor) rămâne vizibilă pe serverele WhatsApp și ar putea fi exploatată în anumite circumstanțe. Experții sugerează implementarea unor verificări de integritate a dispozitivelor sau a unui management al drepturilor digitale (DRM) pentru o securitate îmbunătățită.
Cum să vă protejați
În ciuda îmbunătățirilor aduse de Meta, utilizatorii sunt sfătuiți să fie precauți când folosesc funcții sensibile precum View Once, deoarece niciun sistem nu este complet infailibil. De asemenea, este recomandat să evite utilizarea extensiilor de browser nesigure care pot compromite confidențialitatea mesajelor.
Sursa articolului:
https://cybersecuritynews.com/whatsapp-view-once-vulnerability-bypassed/