WhatsApp漏洞允许攻击者多次查看“阅后即焚”消息,目前已修复
2024-9-10 16:42:44 Author: www.freebuf.com(查看原文) 阅读量:4 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据BleepingComputer消息,全球拥有20亿用户的即时通讯工具 WhatsApp最近修复了一个十分重要的隐私漏洞,该漏洞能允许攻击者多次查看用户发送的“阅后即焚”(View once)内容。

WhatsApp的“阅后即焚”于3年前推出,允许用户发送只能浏览一次的照片、视频和语音消息,且接收者无法转发、分享、复制或截取消息。

但这其中有一个Bug,Zengo X 研究团队发现,“阅后即焚” 功能可用于向收件人的所有设备发送加密媒体消息,包括桌面端,即使这些消息在桌面端无法显示。 这些消息与普通消息几乎完全相同,但包含一个指向 WhatsApp 网络服务器("blob store")托管的加密数据 URL 以及解密密钥。

研究人员称,这些消息在下载后不会立即从 WhatsApp 的服务器中删除,且某些版本的“阅后即焚 ”消息还包含无需下载即可查看的低质量预览。

此外,“阅后即焚 ”消息与常规消息类似,但带有一个“View once”值为“true”的标记,攻击者仅需将“true“改为” false“,就可绕过此隐私功能 ,下载、转发和共享这些“阅后即焚 ”消息。

Zengo X 据称是第一个向 WhatsApp母公司Meta 详细报告这一漏洞的组织,但在此之前该漏洞可能至少 已经暴露了1年。BleepingComputer甚至已观察到两款谷歌浏览器插件(其中一个已于 2023 年发布)能够便捷地实现反复查看并共享“阅后即焚 ”消息。

目前Meta已表示对漏洞进行了修复,但这背后所反映出的更深层次问题也引发了人们的忧虑,即这些科技巨头所谓的为用户着想的隐私措施可能仅仅是个”空壳“,其本质上仍然漏洞百出。

参考来源:

Meta fixes easily bypassed WhatsApp ‘View Once’ privacy feature

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/410675.html
如有侵权请联系:admin#unsafe.sh