אחרי שנה ב"שטח" – מטא תיקנה באג בווטס-אפ שפגע בפרטיות המשתמשים

פגם פרטיות באפליקציית המסרים ווטס-אפ, המשרתת יותר משני מיליארד משתמשים ברחבי העולם, מנוצל על ידי תוקפים כדי לעקוף את תכונת "הצג פעם אחת" של האפליקציה ולצפות שוב בהודעות, כך חשף טל בארי, מנהל הטכנולוגיות ואחד המייסדים של סטארט-אפ הקריפטו זנגו (Zengo).

לדברי מטא, החברה האם של ווטס-אפ, תכונת "הצג פעם אחת" של ווטס-אפ (שהוצגה לפני שלוש שנים) מאפשרת למשתמשים לשתף תמונות, סרטונים והודעות קוליות באופן פרטי, מתוך תפיסה שהנמען לא אמור להיות מסוגל להעביר, לשתף, להעתיק או לצלם את מסך ההודעות שלו מכיוון שהוא ייעלם אוטומטית מהצ'אטים לאחר פתיחה פעם אחת.

"ברגע שתשלח תמונה, סרטון או הודעה קולית פעם אחת, לא תוכל לצפות בה שוב", מסבירה החברה באתר התמיכה שלה. "כל התמונות או הסרטונים שתשלח לא יישמרו בתמונות או בגלריה של הנמען. הנמען גם לא יכול לצלם צילום מסך של כל דבר שאתה שולח באמצעות תצוגת פעם אחת".

עם זאת, "הצג פעם אחת" יחסום ממשתמשי ווטס-אפ לצלם מסך של ההודעה רק במכשירים ניידים מכיוון שפלטפורמות שולחניות ואינטרנט אינן תומכות בחסימת צילומי מסך.

יתר על כן, צוות המחקר של זנגו מצא, כי מטא הטמיעה את התכונה הזאת באופן שהחוקרים תיארו כ"מוזנח", המאפשר לתוקפים לשמור ולשתף בקלות עותקים של הודעות "הצג פעם אחת".

"חשפנו את הממצאים שלנו בפני מטא, אבל כשהבנו שהנושא כבר מנוצל בשטח, החלטנו לפרסם אותו כדי להגן על הפרטיות של משתמשי ווטס-אפ", ציין בארי.

כפי שמצאו חוקרי האבטחה של זנגו, תכונת "הצג פעם אחת" משמשת לשליחת הודעות מדיה מוצפנות לכל מכשירי הנמען – הודעות שהן כמעט זהות להודעה רגילה, אך כוללות כתובת URL לנתונים המוצפנים, המתארחים בשרת האינטרנט של ווטס-אפ ,ואת המפתח לפענוחם. בנוסף, הודעות "הצג פעם אחת" קובעות את הדגל של "הצג פעם אחת" ל"נכון".

בארי הסביר שתכונת "הצג פעם אחת" של ווטס-אפ מאפשרת למשתמשים לשלוח הודעות שיש לצפות בהן פעם אחת בלבד. ובכל זאת, ההודעות נשלחות לכל מכשירי הנמען, גם כאלה שלא אמורים להציג אותן. בנוסף, ההודעות לא נמחקות מיד מהשרתים של ווטס-אפ לאחר ההורדה.

1/ WhatsApp "View once" media message is worse than no privacy.
It's a privacy theater encouraging users to give away their privacy under false pretenses.
See video and thread below on our @ZenGo research discovering it. pic.twitter.com/omRmJc0mfD

— Tal Be'ery (@TalBeerySec) September 9, 2024

זה הופך את הגבלת החשיפה של המדיה לסביבות ופלטפורמות מבוקרות לבלתי אפשרית, במיוחד מכיוון שחלק מהגירסאות של הודעות "הצג פעם אחת" מכילות גם תצוגה מקדימה של מדיה באיכות נמוכה שניתן לצפות בהן ללא הורדה.

יתר על כן, הודעות "הצג פעם אחת" פועלות כמו הודעות רגילות אך עם דגל "הצג פעם אחת". עם זאת, תוקפים יכולים לעקוף את תכונת הפרטיות הזאת על ידי הגדרת דגל "הצג פעם אחת" ל-false, מה שמאפשר הורדה, העברה ושיתוף של ההודעה.

"פרטיות היא קריטית עבור מסרים מיידיים. ווטס-אפ הכירה בכך על ידי תמיכה בהצפנה מקצה לקצה (E2EE) עבור שיחות המשתמשים שלה כברירת מחדל", מציין בארי, "עם זאת, הדבר היחיד שגרוע מחוסר פרטיות הוא תחושת פרטיות מזויפת שבה משתמשים מובלים להאמין שצורות תקשורת מסוימות הן פרטיות, כאשר למעשה הן אינן. נכון לעכשיו, "תכונת 'הצג פעם אחת' של ווטס-אפ היא צורה בוטה של ​​שקר, ויש לתקן אותה ביסודיות או לנטוש אותה".

לדברי חוקרי זנגו, הפגם נוצל לרעה לשמירת הודעות "הצג פעם אחת" במשך שנה לפחות, כאשר אלו המנצלים אותה אפילו יצרו תוספות לדפדפן, שיכולות להשבית את הדגל של "הצג פעם אחת", מה שמאפשר לעקוף את התכונה.

מטא הגיבה לידיעה, ואמרה שבימים אלה היא פורסת שינויים בתכונת "הצג פעם אחת", אבל בעוד התיקון מגיע לגירסת הדפדפן של ווטס-אפ, לא ברור אם עדיין ניתן לנצל את פגם הפרטיות באמצעות אפליקציות ווטס-אפ מותאמות אישית.

"תוכנית תיקון הבאגים שלנו היא דרך חשובה שבה אנו מקבלים משוב בעל ערך מחוקרים חיצוניים, ואנחנו כבר בתהליך של הפעלת עדכונים של 'הצג פעם אחת בגירסת הווב", הודיע דובר ווטס-אפ. "אנחנו ממשיכים לעודד משתמשים לשלוח הודעות תצוגת פעם אחת בלבד לאנשים שהם מכירים וסומכים עליהם", לשון התגובה