בעקבות מחקר אבטחה שנערך על ידי צוות המחקר הישראלי של Zengo X, זוהתה פגיעות קריטית בתכונת ה-View Once של אפליקציית WhatsApp, המיועדת לשמירה על פרטיות. התכונה מאפשרת שליחה של מדיה שתעלם לאחר הצפייה בה פעם אחת, אך ניתן לעקוף אותה באופן פשוט ולהפר את ההבטחה לפרטיות שהשירות מציע. לאחר דיווח אחראי ל-Meta, המפעילה את WhatsApp, ולאור העובדה שהפגיעות כבר מנוצלת בפועל, ״בחרנו לחשוף את הבעיה במטרה להגן על משתמשי האפליקציה״, נכתב בבלוג החברה.
לפי התיאור הרשמי של WhatsApp, תכונת ה-View Once נועדה לאפשר שליחה של תמונות וסרטונים שיימחקו לאחר הצפייה, תוך שמירה על הפרטיות על ידי חסימת אפשרות להעתיק, לשתף או לבצע צילומי מסך של התוכן. עם זאת, המחקר של צוות Zengo גילה כי תכונה זו, שאמורה להיות מופעלת רק בפלטפורמות בהן WhatsApp יכול לשלוט על התוכן, כמו במכשירים ניידים, אינה מוגבלת כפי שפורסם.
המנגנון שנועד להבטיח שהתוכן יימחק לאחר צפייה אחת אינו נאכף בצורה נכונה, והמדיה נשלחת לכלל המכשירים המקושרים לחשבון המשתמש, כולל פלטפורמות שאינן תומכות בפונקציה זו, כמו גרסאות ה-Web וה-Desktop של WhatsApp. כל שנדרש כדי לעקוף את המנגנון הוא שינוי ערך קטן בהודעה, המאפשר הפיכת תוכן ה-View Once לתוכן רגיל שניתן לשמור, לשתף ולהפיץ.
const view_once_handler = (message) => {
if (message?.isViewOnce !== true) {
return;
}
// console.log(message);
message.isViewOnce = false;
};הפגיעות שהתגלתה חמורה במיוחד מכיוון שהיא הופכת את ההגנה על התוכן לבלתי אפשרית, גם עבור משתמשים שהסתמכו על תכונת ה-View Once כדי לשלוח מידע רגיש. התוכן נשאר נגיש למשך שבועיים בשרתים של WhatsApp לאחר שנצפה, במקום להימחק מיד עם הצפייה כפי שהובטח. בנוסף, חלק מההודעות כוללות תצוגה מקדימה באיכות נמוכה שיכולה לשמש לצפייה בתמונה ללא צורך בהורדת התוכן המלא.
כדי לפתור את הבעיה, על WhatsApp ליישם פתרון מבוסס Digital Rights Management (DRM) שיוודא תמיכה בחומרה מתאימה. פתרון נוסף, אם כי פחות חזק, יכול להיות הגבלת שליחת הודעות ה-View Once למכשיר הנייד הראשי בלבד ולא למכשירים מקושרים כמו מחשבים ודפדפנים.
בעידן בו הפרטיות הדיגיטלית היא מרכיב חיוני, תכונות כמו ה-View Once צריכות לספק הגנה אמיתית. עם זאת, כאשר הפתרון מספק תחושת ביטחון שגויה, הוא יכול לגרום נזק חמור יותר מאשר העדר פרטיות מוחלט. WhatsApp צריכה לתקן את הפגיעות בהקדם או לבטל את התכונה לחלוטין כדי למנוע את המשך השימוש לרעה בה.
Loading ...