据BleepingComputer报道,全球拥有20亿用户的即时通讯应用WhatsApp近期修复了一个关键的隐私漏洞。该漏洞允许攻击者多次查看用户发送的“阅后即焚”(View once)内容。
WhatsApp的“阅后即焚”功能于三年前推出,允许用户发送只能查看一次的照片、视频和语音消息,且接收者无法转发、分享、复制或截取这些消息。然而,Zengo X研究团队发现了一个问题,即“阅后即焚”功能可向收件人的所有设备,包括桌面端,发送加密媒体消息,尽管这些消息在桌面端无法显示。这些消息与普通消息几乎无异,但包含一个指向WhatsApp网络服务器(“blob store”)托管的加密数据URL及解密密钥。
研究人员指出,这些消息在下载后并不会立即从WhatsApp的服务器中删除,且某些版本的“阅后即焚”消息还包含无需下载即可查看的低质量预览。此外,“阅后即焚”消息与常规消息相似,但带有“View once”值为“true”的标记,攻击者只需将“true”改为“false”,即可绕过此隐私功能,下载、转发和共享这些“阅后即焚”消息。
据称,Zengo X是首个向WhatsApp母公司Meta详细报告此漏洞的组织,但此漏洞可能已至少存在一年。BleepingComputer甚至已发现两款谷歌浏览器插件(其中一个于2023年发布)能够方便地实现反复查看并共享“阅后即焚”消息。
目前,Meta已表示已修复该漏洞,但这一事件也引发了人们对科技巨头所谓隐私措施的更深层次担忧,认为这些措施可能只是表面功夫,实际上漏洞百出。
参考来源:
Meta fixes easily bypassed WhatsApp ‘View Once’ privacy feature
