Usuários do WhatsApp estão explorando uma falha de privacidade para ignorar o recurso “Visualizar uma vez” do aplicativo. Essa falha permite que eles revejam as mensagens.
Falha no recurso “Visualizar uma vez” do WhatsApp
O recurso “Visualizar uma vez” do WhatsApp permite que os usuários enviem fotos, vídeos e mensagens de voz que só podem ser visualizados uma vez pelo destinatário.
Os destinatários não podem encaminhar, compartilhar ou copiar a mídia “Visualizar uma vez” e não podem fazer capturas de tela ou gravações de tela dela. No entanto, um bug no recurso em seu aplicativo da web baseado em navegador permite que os destinatários revejam as mensagens e salvem a imagem e o vídeo, que devem desaparecer imediatamente após serem exibidos no dispositivo do destinatário.
O popular aplicativo de mensagens instantâneas também impede que os usuários façam capturas de tela. O recurso está disponível apenas em dispositivos móveis, mas não no aplicativo da web, e foi suportado pela primeira vez em 2021.
Os pesquisadores Tal Be’ery, da equipe de pesquisa Zengo X, descobriram a falha e publicaram detalhes técnicos do problema esta semana. Os pesquisadores divulgaram suas descobertas de forma responsável para a Meta, mas decidiram divulgar o problema publicamente após descobrir que ele já estava sendo explorado na natureza. Eles visavam proteger a privacidade dos usuários do WhatsApp e forneceram uma versão mais técnica do blog para mais detalhes.
As mensagens de mídia View once são tecnicamente as mesmas que as mensagens de mídia regulares, apenas com o sinalizador “view once” definido. O que significa que é o equivalente virtual de colocar uma nota na imagem que diz “don’t look” (não olhe). Tudo o que é necessário para os invasores contornarem isso é simplesmente definir esse sinalizador como falso e a mídia “view once” imediatamente se torna mídia “regular” e pode ser baixada, encaminhada e compartilhada.
Dado seu URL de mídia, a mídia View once pode ser baixada por qualquer cliente, nenhuma autenticação é necessária (o leitor ainda precisa da chave de descriptografia enviada com a mensagem). Novamente, tornando impossível a tarefa de limitar a exposição da mídia a ambientes e plataformas controlados.
Tal Be’ery
Aplicativo não oficial do WhatsApp
Os pesquisadores construíram um aplicativo cliente WhatsApp não oficial usando Baileys, uma implementação de código aberto da API da Web do WhatsApp, para demonstrar como ignorar o recurso “Visualizar uma vez”. Eles relataram suas descobertas ao Meta, mas depois descobriram que outros já haviam encontrado e explorado o problema no início do ano.
Esses usuários maliciosos modificaram o sinalizador de mensagem de “visualizar uma vez” para “falso” usando um aplicativo WhatsApp Android modificado ou uma extensão da web.
O WhatsApp ainda não revelou quando planeja resolver o problema.
Via: Security Affairs