Крах однократного просмотра: любой может сохранить ваши данные в WhatsApp

В популярном мессенджере WhatsApp, аудитория которого насчитывает более 2 миллиардов человек по всему миру, обнаружена серьезная уязвимость. Она позволяет злоумышленникам обходить функцию «Однократный просмотр» и просматривать сообщения повторно.

Функция появилась в WhatsApp три года назад. С ее помощью пользователи могут делиться фотографиями, видео и голосовыми сообщениями, которые автоматически удаляются из чата после первого открытия. Согласно заявлению компании Meta*, получатель не может пересылать, делиться, копировать или делать скриншоты таких сообщений.

Важно отметить, что однократный просмотр блокирует создание скриншотов только на мобильных устройствах. На десктопных и в веб-версии WhatsApp блокировка не поддерживается.

Команда Zengo X Research Team выяснила, что Meta не предусмотрела несколько важных моментов при разработке. Лазейка, найденная исследователями, позволяет злоумышленникам легко сохранять и делиться копиями материалов, отправленных в режиме однократного просмотра. Технический директор Zengo Тал Бе'ери сообщил, что они уведомили Meta о своих находках, но, когда выяснилось, что уязвимость уже эксплуатируется, решили обнародовать информацию, чтобы обезопасить пользователей WhatsApp.

Оказывается, когда активирован однократный просмотр, сообщения отправляются на все устройства получателя в зашифрованном виде. Они практически идентичны обычным сообщениям, но содержат URL-адрес зашифрованных данных на веб-сервере WhatsApp и ключ для их расшифровки. Кроме того, такие сообщения имеют флаг «Однократный просмотр» со значением «true».

Бе’ери поясняет: одноразовые сообщения приходят на все устройства получателя, включая те, которым не разрешено их отображать. Более того, данные не удаляются с серверов WhatsApp сразу после загрузки. А значит, ограничить доступ к медиафайлам только контролируемыми средами и платформами невозможно.

Проблема усугубляется тем, что некоторые версии сообщений в режиме однократного просмотра содержат предварительные просмотры медиафайлов низкого качества, доступные без полной загрузки. Изменив флаг «Однократный просмотр» на «false», можно пересылать и делиться данными, которые изначально должны быть защищены.

По мнению Бе'ери, функция должна быть либо кардинально переработана, либо полностью отменена. Несмотря на то, что исследователи Zengo первыми официально сообщили об этой проблеме Meta и опубликовали отчет, выяснилось, что уязвимость эксплуатируется уже как минимум год. За это время нарушители даже успели создать специальные расширения для браузеров, упрощающие процесс обхода защиты.

По данным BleepingComputer , в сети уже появились инструменты для обхода функции «Однократный просмотр». В частности, обнаружено как минимум два расширения для браузера Google Chrome, позволяющих отключать защитный флаг и получать доступ к одноразовым сообщениям. Одно из этих расширений было выпущено еще в 2023 году.

Представитель WhatsApp заверил: компания уже работает над обновлениями однократного просмотра для веб-версии приложения. В свете выявленных проблем компания настоятельно рекомендует пользователям отправлять одноразовые сообщения только проверенным контактам, которым они полностью доверяют.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.