Найти в Дзене
Mizhgunit-news
683 подписчика

У WhatsApp проблемы с безопасностью: вы можете скачивать то, что не должны

7
1 мин
Доброго времени, господа. В популярном чат-мессенджере WhatsApp была найдена уязвимость, которая позволяет скачивать фото, отправленные для однократного просмотра. Такая функция преподносилась как дополнительная конфиденциальность, так как получатель терял возможность делать скриншоты во время просмотра, а после просмотра - и открывать файл. Но в веб-версии найден способ, как смотреть постоянно, и даже скачивать эти файлы. Он открыл веб-версию WhatsApp, после чего смог найти постоянную ссылку на изображение в коде страницы. Изображение, отправленное для однократного просмотра, находится на сервере, так что по прямой ссылке на файл, можно получить к этому изображению постоянный доступ. Происходит это потому, что при отправке "одноразовой" фотографии, на устройства пользователя приходит сообщение с зашифрованным URL картинки, ключом для расшифровки и флагом "однократный просмотр = true". Поэтому даже несмотря на то, что теоретически, посмотреть одноразовое фото можно только на телефоне,
Оглавление

Доброго времени, господа. В популярном чат-мессенджере WhatsApp была найдена уязвимость, которая позволяет скачивать фото, отправленные для однократного просмотра. Такая функция преподносилась как дополнительная конфиденциальность, так как получатель терял возможность делать скриншоты во время просмотра, а после просмотра - и открывать файл.

Но в веб-версии найден способ, как смотреть постоянно, и даже скачивать эти файлы.

Уязвимость нашел Таль Баэри - инженер по кибербезопасности

Он открыл веб-версию WhatsApp, после чего смог найти постоянную ссылку на изображение в коде страницы. Изображение, отправленное для однократного просмотра, находится на сервере, так что по прямой ссылке на файл, можно получить к этому изображению постоянный доступ.

Фото: TechCrunch
Фото: TechCrunch

Происходит это потому, что при отправке "одноразовой" фотографии, на устройства пользователя приходит сообщение с зашифрованным URL картинки, ключом для расшифровки и флагом "однократный просмотр = true". Поэтому даже несмотря на то, что теоретически, посмотреть одноразовое фото можно только на телефоне, получить доступ к его URL можно с любого устройства, на которое пришло это сообщение.

Фото: Grant Davies/Unsplash
Фото: Grant Davies/Unsplash

Также можно просто изменить флаг однократного просмотра на False, после чего спокойно делиться этими данными. Усугубляется это и тем, что уязвимость не новая, и злоумышленники даже сделали расширение для браузера, которое упрощает переделку фотографий в многоразовые.

Фото: Securitylabs.ru
Фото: Securitylabs.ru

WhatsApp пообещали все исправить и разобраться с ситуацией, но пока рекомендуют пользователям не пересылать одноразовые сообщения тем, к кому нет доверия.

И повесть эта об одном...

Никакой анонимности и безопасности в современных мессенджерах нет, и это надо понимать. Даже такие функции "безопасности", на поверку оказываются не так надежны, как хотелось бы, но вселяют ложное чувство в пользователя.

Фото: Simonkr / Getty Images
Фото: Simonkr / Getty Images

На данный момент уязвимость устраняется, но кто знает, какие еще меры "безопасности", на деле, могут оказаться новыми уязвимостями...

Источники: 3DNews, TechCrunch, Securitylab

А НЕ новостные статьи можете почитать на основном канале Mizhgunit.

Ноутбук, который можно апгрейдить как ПК
Mizhgunit11 сентября 2024
Китайцы готовят собственную видеокарту уровня RTX 2080
Mizhgunit-news11 сентября 2024
Это конец intel? Власти США не торопятся спасать "вчерашнего монополиста"
Mizhgunit-news11 сентября 2024

1