fbpx

פגיעות בפרטיות: תכונת ה-View Once של WhatsApp ניתנת לעקיפה בקלות

פרצת אבטחה בתכונת ה-View Once של WhatsApp חושפת מדיה רגישות לעקיפה ולשיתוף, ופוגעת בפרטיות המשתמשים.

מאת אבי דוד | Avi David

בעקבות מחקר אבטחה שנערך על ידי צוות המחקר הישראלי של Zengo X, זוהתה פגיעות קריטית בתכונת ה-View Once של אפליקציית WhatsApp, המיועדת לשמירה על פרטיות. התכונה מאפשרת שליחה של מדיה שתעלם לאחר הצפייה בה פעם אחת, אך ניתן לעקוף אותה באופן פשוט ולהפר את ההבטחה לפרטיות שהשירות מציע. לאחר דיווח אחראי ל-Meta, המפעילה את WhatsApp, ולאור העובדה שהפגיעות כבר מנוצלת בפועל, ״בחרנו לחשוף את הבעיה במטרה להגן על משתמשי האפליקציה״, נכתב בבלוג החברה.

לפי התיאור הרשמי של WhatsApp, תכונת ה-View Once נועדה לאפשר שליחה של תמונות וסרטונים שיימחקו לאחר הצפייה, תוך שמירה על הפרטיות על ידי חסימת אפשרות להעתיק, לשתף או לבצע צילומי מסך של התוכן. עם זאת, המחקר של צוות Zengo גילה כי תכונה זו, שאמורה להיות מופעלת רק בפלטפורמות בהן WhatsApp יכול לשלוט על התוכן, כמו במכשירים ניידים, אינה מוגבלת כפי שפורסם.

Ad image

המנגנון שנועד להבטיח שהתוכן יימחק לאחר צפייה אחת אינו נאכף בצורה נכונה, והמדיה נשלחת לכלל המכשירים המקושרים לחשבון המשתמש, כולל פלטפורמות שאינן תומכות בפונקציה זו, כמו גרסאות ה-Web וה-Desktop של WhatsApp. כל שנדרש כדי לעקוף את המנגנון הוא שינוי ערך קטן בהודעה, המאפשר הפיכת תוכן ה-View Once לתוכן רגיל שניתן לשמור, לשתף ולהפיץ.

const view_once_handler = (message) => {
    if (message?.isViewOnce !== true) {
        return;
    }
    // console.log(message);
    message.isViewOnce = false;
};

הפגיעות שהתגלתה חמורה במיוחד מכיוון שהיא הופכת את ההגנה על התוכן לבלתי אפשרית, גם עבור משתמשים שהסתמכו על תכונת ה-View Once כדי לשלוח מידע רגיש. התוכן נשאר נגיש למשך שבועיים בשרתים של WhatsApp לאחר שנצפה, במקום להימחק מיד עם הצפייה כפי שהובטח. בנוסף, חלק מההודעות כוללות תצוגה מקדימה באיכות נמוכה שיכולה לשמש לצפייה בתמונה ללא צורך בהורדת התוכן המלא.

כדי לפתור את הבעיה, על WhatsApp ליישם פתרון מבוסס Digital Rights Management (DRM) שיוודא תמיכה בחומרה מתאימה. פתרון נוסף, אם כי פחות חזק, יכול להיות הגבלת שליחת הודעות ה-View Once למכשיר הנייד הראשי בלבד ולא למכשירים מקושרים כמו מחשבים ודפדפנים.

Ad image

בעידן בו הפרטיות הדיגיטלית היא מרכיב חיוני, תכונות כמו ה-View Once צריכות לספק הגנה אמיתית. עם זאת, כאשר הפתרון מספק תחושת ביטחון שגויה, הוא יכול לגרום נזק חמור יותר מאשר העדר פרטיות מוחלט. WhatsApp צריכה לתקן את הפגיעות בהקדם או לבטל את התכונה לחלוטין כדי למנוע את המשך השימוש לרעה בה.

שתפו כתבה
עורך משנה
עקוב:
ממקימי האתר ועורך משנה | פנבוי של אפל אבל שומר חסד נעורים למיקרוסופט. מומחה SEO והתמיכה הטכנית של הצוות באתר. לאבי ניסיון רב בכתיבה טכנית ועבודה בתחום - בין היתר היה שותף ב-GSM-Israel ובעל אתר טכנולוגי עצמאי בשם TechIT. | סלולרי: iPhone 16 Pro Max מחשב: MacBook Pro Late 2018 15" טאבלט: iPad Pro 11" שעון חכם: Apple Watch Ultra