بواسطة: سيرجيو جاتلان | BleepingComputer
يستغل المهاجمون ثغرة الخصوصية في تطبيق المراسلة الفورية واتساب، الذي يستخدمه أكثر من 2 مليار شخص حول العالم، لتجاوز ميزة "العرض مرة واحدة" في التطبيق وعرض الرسائل مرة أخرى.
وتقول شركة ميتا إن ميزة "العرض مرة واحدة" في واتساب (التي تم تقديمها قبل ثلاث سنوات ) تمكن المستخدمين من مشاركة الصور ومقاطع الفيديو والرسائل الصوتية بشكل خاص، حيث لا ينبغي أن يتمكن المستلم من إعادة توجيه رسائله أو مشاركتها أو نسخها أو التقاط لقطة شاشة لها لأنها ستختفي تلقائيًا من الدردشات بعد فتحها مرة واحدة.
وتوضح الشركة على موقع الدعم الخاص بها: "بمجرد إرسال صورة أو مقطع فيديو أو رسالة صوتية مرة واحدة، فلن تتمكن من مشاهدتها مرة أخرى".
"لن يتم حفظ أي صور أو مقاطع فيديو ترسلها في معرض الصور أو المعرض الخاص بالمستلم. كما لا يمكن للمستلم التقاط لقطة شاشة لأي شيء ترسله باستخدام ميزة "عرض مرة واحدة".
ومع ذلك، فإن خيار "عرض مرة واحدة" سيمنع مستخدمي WhatsApp فقط من التقاط لقطة شاشة لما يتم إرساله على الأجهزة المحمولة، لأن منصات سطح المكتب والويب لا تدعم حظر لقطات الشاشة.
وعلاوة على ذلك، وجد فريق البحث في Zengo X أن Meta نفذت هذه الميزة بطريقة وصفها الباحثون بأنها "طريقة مهملة"، مما يسمح للمهاجمين بحفظ ومشاركة نسخ من رسائل "العرض مرة واحدة" بسهولة.
وقال مدير التكنولوجيا في شركة Zengo، تال بيري : "لقد كشفنا بشكل مسؤول عن نتائجنا لشركة Meta، ولكن عندما أدركنا أن المشكلة تم استغلالها بالفعل في البرية، قررنا جعلها علنية لحماية خصوصية مستخدمي WhatsApp".
وكما اكتشف باحثو الأمن في شركة زينجو، فإن ميزة "العرض مرة واحدة" تُستخدم لإرسال رسائل وسائط مشفرة إلى جميع أجهزة المتلقي، وهي رسائل متطابقة تقريبًا مع الرسائل العادية ولكنها تتضمن عنوان URL للبيانات المشفرة المستضافة على خادم الويب الخاص بـ WhatsApp ("مخزن الكائنات") والمفتاح لفك تشفيرها. بالإضافة إلى ذلك، فإن رسائل "العرض مرة واحدة" تضع علامة "العرض مرة واحدة" على "صحيح".
شعور زائف بالخصوصية
وأوضح بيري أن خاصية "المشاهدة مرة واحدة" في واتساب تسمح للمستخدمين بإرسال رسائل لا ينبغي مشاهدتها إلا مرة واحدة، ومع ذلك، يتم إرسال الرسائل إلى جميع أجهزة المتلقي، بما في ذلك تلك التي لا يُسمح لها بعرضها، بالإضافة إلى ذلك، لا يتم حذف الرسائل فورًا من خوادم واتساب بعد تنزيلها.
وهذا يجعل الحد من تعرض الوسائط للبيئات والمنصات الخاضعة للرقابة أمرًا مستحيلًا، خاصة وأن بعض إصدارات رسائل "العرض مرة واحدة" تحتوي أيضًا على معاينات وسائط منخفضة الجودة يمكن مشاهدتها دون تنزيلها.
علاوة على ذلك، تعمل رسائل "العرض مرة واحدة" مثل الرسائل العادية ولكن مع علامة "العرض مرة واحدة". ومع ذلك، يمكن للمهاجمين تجاوز ميزة الخصوصية هذه عن طريق تعيين علامة "العرض مرة واحدة" على "خطأ"، مما يسمح بتنزيل الرسالة وإعادة توجيهها ومشاركتها.
واختتم بيري قائلا: "الخصوصية أمر بالغ الأهمية للمراسلة الفورية. وقد اعترفت واتساب بذلك من خلال دعم التشفير من النهاية إلى النهاية (E2EE) لمحادثات مستخدميها بشكل افتراضي".
"ومع ذلك، فإن الشيء الوحيد الأسوأ من عدم وجود الخصوصية هو الشعور الزائف بالخصوصية الذي يدفع المستخدمين إلى الاعتقاد بأن بعض أشكال الاتصال خاصة بينما هي في الواقع ليست كذلك. وفي الوقت الحالي، فإن ميزة View once في واتساب تمثل شكلاً صريحًا من أشكال الخصوصية الزائفة ويجب إما إصلاحها تمامًا أو التخلي عنها."
في حين أن باحثي Zengo هم أول من أبلغ عن المشكلة إلى Meta ونشروا تقريرًا يوضح بالتفصيل مشكلة الخصوصية هذه، فقد تم إساءة استخدام الخلل لحفظ رسائل "عرض مرة واحدة" لمدة عام على الأقل، حتى أن أولئك الذين استغلوه قاموا بإنشاء إضافات للمتصفح لتبسيط العملية بأكملها.
يعرف موقع BleepingComputer على الأقل ملحقين لمتصفح Google Chrome، أحدهما تم إصداره في عام 2023، والذي يمكنه تعطيل علامة العرض مرة واحدة، مما يسمح بتجاوز الميزة.
ردت شركة Meta على رسالة بريد إلكتروني من BleepingComputer بخصوص التجاوز، قائلةً إنها تطرح حاليًا تغييرات على ميزة View Once. وبينما يتم العمل على إصلاح هذه المشكلة في WhatsApp Web، فمن غير الواضح ما إذا كان من الممكن استغلال ثغرة الخصوصية باستخدام تطبيقات WhatsApp المخصصة.
صرح متحدث باسم WhatsApp لموقع BleepingComputer قائلًا: "يعد برنامج مكافأة الأخطاء لدينا وسيلة مهمة نتلقى من خلالها ملاحظات قيمة من الباحثين الخارجيين، ونحن بالفعل في عملية طرح تحديثات لعرض الرسائل مرة واحدة على الويب". "نستمر في تشجيع المستخدمين على إرسال رسائل لعرض الرسائل مرة واحدة فقط إلى الأشخاص الذين يعرفونهم ويثقون بهم".