Se você enviar uma mensagem, foto ou vídeo com a opção “Ver uma vez” no WhatsApp, não tenha tanta certeza de que o destinatário não poderá assisti-lo novamente.
Os pesquisadores de segurança da carteira de criptomoeda ZenGo descobriram recentemente um bug que permitia aos usuários do WhatsApp ver mensagens com a opção “Ver uma vez” um número arbitrário de vezes.
Meta atualiza chats de terceiros do WhatsApp e do Messenger na Europa
Em resposta, o WhatsApp corrigiu o problema. No entanto, os pesquisadores do ZenGo descobriram outra exploração no patch provisório do WhatsApp que mais uma vez lhes permitiu acessar mensagens que supostamente haviam desaparecido.
Exploração do WhatsApp View Once
View Once foi introduzido pelo WhatsApp em 2021. View Once permite aos usuários enviar mensagens de texto, fotos e vídeos que desaparecem na primeira vez que o destinatário os abre.
Além disso, para garantir a fugacidade dessas mensagens, o WhatsApp desativa o uso de capturas de tela no aplicativo em mensagens Ver Uma Vez via iOS e Android. Além disso, o WhatsApp limita as mensagens Ver uma vez apenas a aplicativos móveis.
No entanto, em uma postagem na semana passada, Tal Be’ery, gerente de pesquisa de segurança da ZenGo, descreveu uma falha de segurança que permitiu que sua equipe acessasse repetidamente mensagens do View Once.
Basicamente, como Be’ery disse explicaVer uma vez que as mensagens estão limitadas a serem exibidas em aplicativos móveis apenas quando visualizadas. A mídia ainda existe nos servidores do WhatsApp. Se o usuário conseguir encontrar a URL do arquivo de mídia, ele poderá acessar a mensagem ou arquivo de mídia que deveria desaparecer.
Velocidade da luz mashável
Be’ery contatou a empresa controladora do WhatsApp, Meta, por meio de canais oficiais e relatou a exploração por meio de seu programa de recompensas por bugs em 26 de agosto. Mas já era tarde demais. Be’ery logo descobriu que o bug já estava em uso, pois uma extensão do Chrome apareceu permitindo aos usuários acessar mensagens View Once já exibidas por meio do aplicativo web WhatsApp. ZenGo tornou a exploração pública e publicou seu relatório na semana passada, em 9 de setembro.
Reparo e uso do Meta #2
A questão parece ter sido levada a sério pela Meta, pelo menos depois que Be’ery tornou pública a exploração. A Meta parece ter lançado uma correção para o bug WhasApp View Once em 12 de setembro.
De acordo com novo relatório de Be’ery, o patch Meta “muda a maneira como as mensagens multimídia são salvas nos bancos de dados do aplicativo e redige algumas das informações que tornam possível a visualização da mídia”.
Este patch também parece ter quebrado a extensão do Chrome “View Once Photos Bypass” mencionada anteriormente.
O tweet pode ter sido excluído
No entanto, Be’ery diz que a correção “ainda não é suficiente” e pode ser explorada por meio de uma solução alternativa. Na verdade, como afirma Be’ery ar livreOs desenvolvedores da extensão View Once bypass para Chrome publicaram uma atualização informando que descobriram uma nova maneira de explorar uma vulnerabilidade de segurança que permite recuperar o acesso à mídia View Once.
Cerveja também publicado um vídeo mostrando que as mensagens Visualizar uma vez ainda estão disponíveis.
Meta disse ao Mashable que está tomando várias medidas para resolver o problema de visualização única. A correção inicial pretendia ser temporária, já que o Meta reestrutura a forma como o View Once funciona no WhatsApp na web.
“Como mencionamos anteriormente, estamos no processo de lançar várias atualizações do View Once na web”, disse um porta-voz do WhatsApp ao Mashable. “Essas atualizações adicionais chegarão em breve.”
ATUALIZAÇÃO: 18 de setembro de 2024 14h04 EST Este artigo foi atualizado com uma declaração e informações adicionais da Meta.
