Доброго времени, господа. В популярном чат-мессенджере WhatsApp была найдена уязвимость, которая позволяет скачивать фото, отправленные для однократного просмотра. Такая функция преподносилась как дополнительная конфиденциальность, так как получатель терял возможность делать скриншоты во время просмотра, а после просмотра - и открывать файл.
Но в веб-версии найден способ, как смотреть постоянно, и даже скачивать эти файлы.
Уязвимость нашел Таль Баэри - инженер по кибербезопасности
Он открыл веб-версию WhatsApp, после чего смог найти постоянную ссылку на изображение в коде страницы. Изображение, отправленное для однократного просмотра, находится на сервере, так что по прямой ссылке на файл, можно получить к этому изображению постоянный доступ.
Происходит это потому, что при отправке "одноразовой" фотографии, на устройства пользователя приходит сообщение с зашифрованным URL картинки, ключом для расшифровки и флагом "однократный просмотр = true". Поэтому даже несмотря на то, что теоретически, посмотреть одноразовое фото можно только на телефоне, получить доступ к его URL можно с любого устройства, на которое пришло это сообщение.
Также можно просто изменить флаг однократного просмотра на False, после чего спокойно делиться этими данными. Усугубляется это и тем, что уязвимость не новая, и злоумышленники даже сделали расширение для браузера, которое упрощает переделку фотографий в многоразовые.
WhatsApp пообещали все исправить и разобраться с ситуацией, но пока рекомендуют пользователям не пересылать одноразовые сообщения тем, к кому нет доверия.
И повесть эта об одном...
Никакой анонимности и безопасности в современных мессенджерах нет, и это надо понимать. Даже такие функции "безопасности", на поверку оказываются не так надежны, как хотелось бы, но вселяют ложное чувство в пользователя.
На данный момент уязвимость устраняется, но кто знает, какие еще меры "безопасности", на деле, могут оказаться новыми уязвимостями...
Источники: 3DNews, TechCrunch, Securitylab
А НЕ новостные статьи можете почитать на основном канале Mizhgunit.