WhatsApp: scoperto bug di privacy in “Visualizza una volta”

Tre anni fa WhatsApp ha introdotto la funzionalità "Visualizza una volta" per migliorare la privacy degli utenti. Questa consente infatti di inviare foto e video che scompaiono dopo essere stati aperti una volta. Tuttavia, recentemente è stata scoperta una falla critica nella funzionalità che gli aggressori stanno sfruttando attivamente. Il team di ricerca Zengo X ha notato che la funzionalità può essere facilmente aggirata, consentendo agli attori malintenzionati di salvare e distribuire i media inviati tramite “Visualizza una volta” senza che il mittente ne sia a conoscenza.

Il problema principale risiede nell'implementazione della funzionalità "Visualizza una volta" da parte di WhatsApp. In primis, i messaggi vengono inviati a tutti i dispositivi del destinatario, inclusi anche quelli che non sono destinati a visualizzare tali messaggi. Inoltre, i messaggi sono tecnicamente gli stessi dei normali messaggi multimediali, con solo un flag "View Once" impostato. Gli aggressori possono semplicemente cambiare questo flag in "false" per convertire il media in un formato normale e scaricabile. Bisogna poi notare che l'URL del media non richiede autenticazione per scaricare il contenuto (a patto che l'aggressore disponga della chiave di decrittazione inviata insieme al messaggio). Alcune versioni dei messaggi "Visualizza una volta" contengono anche un'anteprima che può essere visualizzata senza scaricare il contenuto. Infine, i contenuti multimediali "View Once" non vengono eliminati immediatamente dai server di WhatsApp dopo essere stati scaricati, ma restano accessibili fino a due settimane.

WhatsApp: bug di “Visualizza una volta” già sfruttato dall’inizio dell'anno

L’indagine di Zengo X ha rivelato che questo bug di WhatsApp era già stato scoperto all'inizio di quest'anno e alcuni lo stanno sfruttando attivamente. Gli aggressori hanno sviluppato app Android modificate ed estensioni web che attivano automaticamente il flag "Visualizza una volta". Ciò consente loro di salvare e distribuire i contenuti multimediali senza il consenso del mittente. Sebbene esistano metodi analogici per copiare i media visualizzati una volta, questo exploit digitale rende il processo notevolmente più semplice, veloce e scalabile.  Per risolvere questo problema, WhatsApp deve implementare una soluzione DRM (Digital Rights Management) adeguata che verifica il supporto hardware per DRM. In alternativa, una soluzione meno affidabile sarebbe quella di inviare messaggi "View Once" solo al dispositivo mobile principale e non ai dispositivi complementari collegati.

Rispondendo alla redazione di BleepingComputer, Meta ha dichiarato che attualmente stanno implementando modifiche alla funzionalità View Once. La correzione è già in arrivo per WhatsApp Web. Tuttavia, ad oggi non è chiaro se il difetto di privacy possa ancora essere sfruttato utilizzando app WhatsApp personalizzate.