Link alla notizia: https://www.hwupgrade.it/news/telefonia/whatsapp-grave-rischio-privacy-per-gli-utenti-la-feature-visualizza-una-volta-puo-essere-aggirata-facilmente_130569.html

Un team di ricercatori ha scoperto una vulnerabilità nella funzione "Visualizza una volta" di WhatsApp, che consente agli utenti di aggirare le protezioni sulla privacy e accedere ripetutamente a contenuti sensibili.

Click sul link per visualizzare la notizia.

? davvero qualcuno pensa di sentirsi tutelato dal "visualizza una volta". anche funzionasse benissimo (lato whatasapp intendo) basta fare uno screen o fotografato da un altro cell

? davvero qualcuno pensa di sentirsi tutelato dal "visualizza una volta". anche funzionasse benissimo (lato whatasapp intendo) basta fare uno screen o fotografato da un altro cell

Lo screenshot non funziona, bisogna fare una foto con un altro cell.

Sai i porno che girano con l'opzione visualizza solo una volta ...brava Giovanna brava

Lo screenshot non funziona, bisogna fare una foto con un altro cell.

ho aggiunto le due casistiche per l'evenienza, pure la registrazione video non funziona?

la vera notizia è che qualcuno crede di avere della privacy usando un servizio di facebook e usando l'opzione "visualizza una volta"....

Lo screenshot non funziona, bisogna fare una foto con un altro cell.

Il tutto se utilizzi Whatsapp da smartphone, già ad utilizzare la versione app o web rende oltremodo vane tante limitazioni lato sicurezza di questa applicazione. Per non parlare poi se si va a gironzolare con una qualunque gestore file all'interno delle cartelle dello stesso...ti salvi l'impossibile e anche di più...senza neanche scomodare il root.

p.s.

ricordiamolo sempre, quando una foto, un documento, un qualsivoglia file viene condiviso la privacy se ne va a donnine, per sempre. La verità è questa. :fagiano:

Se li fai una volta nessuno ha la rapidità di fare foto o cercare uno smartphone per salvare . Se è una cosa continua ci si attrezza

lato web le foto a tempo non penso funzionino, o si?

No in effetti mi riferivo a stati e altre foto normali, quelle a tempo a pensarci bene sono apribili solo da smartphone, ne da app windows, ne da web...sarei curioso comunque di sbirciare all'interno della cartella whatsapp dello smartphone a tempo perso (se qualcuno l'ha fatto, ci dica) per vedere se come spero le suddette "foto a tempo" siano comunque inaccessibili.

Tutto questo ripeto con l'applicazione ufficiale come giustamente anche riportato nell'articolo.

Mi verrebbe in mente, così di getto, che potrei benissimo virtualizzare un android, installare whatsapp, associare il mio account e fare screenshot di tutto quello che mi pare, foto a tempo comprese...ma appunto, come da notizia, sicuramente ci saranno modi molto più rapidi e semplici...

...io semplicemente NON CONDIVIDEREI qualcosa a tempo...per assurdo anche se di qualità inferiore, basta la foto della foto e la privacy va a farsi benedire...:stordita:

Riassumendo, la chiave dietro decryptazione del media protetto viene inviata anche ai client che non supportano il view once (web browser e client desktop) quindi basta far credere al browser che il messaggio non sia del tipo view once tramite javascript e il client mostra l'immagine.
Lasciare questa funzionalità al client e non controllata dalle api lato server è un errore abbastanza grave.
Un po' come implementare una protezione dagli attacchi brute force nel client e non nel server.

già ad utilizzare la versione app o web rende oltremodo vane tante limitazioni lato sicurezza di questa applicazione
Da web le immagini one-time sono disabilitate, perciò la sicurezza è al 100%; con l'app su PC non so, se non sono disabilitate anche lì la sicurezza è inesistente.
Su Android non mi risulta nessun sistema per aggirare la protezione, salvo ovviamente fotografare lo schermo oppure root del dispositivo, o roba ancora più esotica come Android in emulazione nel PC.

Se li fai una volta nessuno ha la rapidità di fare foto o cercare uno smartphone per salvare . Se è una cosa continua ci si attrezza
Non mi pare che ci sia un tempo limite di visualizzazione, c'è solo la visualizzazione singola. Oppure è un tempo molto lungo.

Da web le immagini one-time sono disabilitate, perciò la sicurezza è al 100%; con l'app su PC non so, se non sono disabilitate anche lì la sicurezza è inesistente.
In effetti esiste un'oscura estensione a pagamento per Chrome che promette di attivare la visualizzazione dei messaggi view-once via web. Secondo me chi installa un'estensione del genere dovrebbe preoccuparsi della sua privacy, prima di violare quella dell'interlocutore...

Da web le immagini one-time sono disabilitate, perciò la sicurezza è al 100%; con l'app su PC non so, se non sono disabilitate anche lì la sicurezza è inesistente.
Su Android non mi risulta nessun sistema per aggirare la protezione, salvo ovviamente fotografare lo schermo oppure root del dispositivo, o roba ancora più esotica come Android in emulazione nel PC.

Esiste eccome... la foto viene salvata in una cartella chiamata viewonce, basta sapere dove andare a cercare fra le cartelle di android e trovi una bella jpg che copi e incolli in qualsiasi altra cartella e non si cancella più. Tra l'altro tutto fattibile e semplicissimo senza installare estensioni o roba strana di dubbia provenienza. Basta semplicemente avere una app, va bene anche quella di samsung preinstallata in tanti modelli, per esplorare le cartelle.

Facilissimo.

Esiste eccome... la foto viene salvata in una cartella chiamata viewonce, basta sapere dove andare a cercare fra le cartelle di android e trovi una bella jpg che copi e incolli in qualsiasi altra cartella e non si cancella più.
Ma tu hai verificato o riporti semplicemente le sciocchezze che si trovano su Reddit? Nel mio wa su Android non esiste nessun folder "viewonce", e ritengo che non esista in generale.

Esiste eccome... la foto viene salvata in una cartella chiamata viewonce, basta sapere dove andare a cercare fra le cartelle di android e trovi una bella jpg che copi e incolli in qualsiasi altra cartella e non si cancella più. Tra l'altro tutto fattibile e semplicissimo senza installare estensioni o roba strana di dubbia provenienza. Basta semplicemente avere una app, va bene anche quella di samsung preinstallata in tanti modelli, per esplorare le cartelle.

Facilissimo.

Ho trovato e verificato in quella cartella ma...nada nisba...ho due whatsapp mi son mandato dall'altro account un immagine a tempo e o la apro o non la apro in quella cartella l'immagine non c'è.

Hai provato in prima persona o come già ipotizzato hai rilanciato quanto letto su Internet ? Nel primo caso, sarei interessato ad avere maggiori informazioni...

Ma tu hai verificato o riporti semplicemente le sciocchezze che si trovano su Reddit? Nel mio wa su Android non esiste nessun folder "viewonce", e ritengo che non esista in generale.

La cartella esiste, devi abilitare i files e le cartelle nascosti, però non son riuscito a replicare quanto affermato da lui...

La cartella esiste, devi abilitare i files e le cartelle nascosti, però non son riuscito a replicare quanto affermato da lui...
Io non ho quella cartella. Per caso hai fatto il root?

Io non ho quella cartella. Per caso hai fatto il root?

Assolutamente no. Magari....son dovuto tornare a condizioni di fabbrica l'anno scorso...non si campava più con google...:muro:

Assolutamente no. Magari....son dovuto tornare a condizioni di fabbrica l'anno scorso...non si campava più con google...:muro:
Allora non so. Io non ho quella cartella, non la trova nemmeno TotalCommander

Ma tu hai verificato o riporti semplicemente le sciocchezze che si trovano su Reddit? Nel mio wa su Android non esiste nessun folder "viewonce", e ritengo che non esista in generale.

L'ho fatto io stesso più di una volta. Perché secondo me è scritta in qualche modo strano tipo view_once o cose del genere ma fidati c'è. La trovi se non erro dentro com.whatsapp

Ho trovato e verificato in quella cartella ma...nada nisba...ho due whatsapp mi son mandato dall'altro account un immagine a tempo e o la apro o non la apro in quella cartella l'immagine non c'è.

Hai provato in prima persona o come già ipotizzato hai rilanciato quanto letto su Internet ? Nel primo caso, sarei interessato ad avere maggiori informazioni...

Mmm se non hai il download automatico ricordati di scaricarla SENZA aprirla altrimenti trovi la cartella vuota.

In ogni caso ho testato il procedimento svariate volte.

L'ho fatto io stesso più di una volta. Perché secondo me è scritta in qualche modo strano tipo view_once o cose del genere ma fidati c'è. La trovi se non erro dentro com.whatsapp
Allora, una cartella la so ancora trovare, nascosta o meno, e nel mio Android non c'è nulla di simile. Ho spulciato tutto l'albero di wa e non ce l'ho.
Dopodiché, se in altre installazioni/versioni di wa si trova allora pace, ma non è comunque credibile che in un dispositivo senza accesso root ci sia un modo così banale di bypassare questa funzionalità di sicurezza, perciò se non lo vedo coi miei occhi non ci credo, sorry.

si certo, hanno trovato una falla su una chiave di una chiamata e tu scopri un bug ancora piu' grosso su una directory in cui il software mette la foto prima di aprirla...

Facciamo una scommessa? Ti mando in privato un numero di cell, te mi mandi una immagina a tua scelta qualsiasi e io te la riposto sul forum.

A me basta che mi garantisci che non diffonderai il numero e comunque non c'è nessun segreto di stato... la procedura che ho suggerito la trovi tranquillamente online con tanto di guide passo passo.

Facciamo una scommessa? Ti mando in privato un numero di cell, te mi mandi una immagina a tua scelta qualsiasi e io te la riposto sul forum.

A me basta che mi garantisci che non diffonderai il numero e comunque non c'è nessun segreto di stato... la procedura che ho suggerito la trovi tranquillamente online con tanto di guide passo passo.

Purtroppo non proverebbe nulla perché non posso sapere se hai l'accesso root al tuo dispositivo, o usi altri metodi esotici per salvare l'immagine.
Puoi postare il link a questa guida passo-passo? I post su Reddit e simili li ho già visti.

Ma qualcuno pensa veramente che una foto, o qualunque cosa posti sui social, questa se lo chiedi sia cancellata? Ma abbiamo gia' visto varie volte che files cancellati tornavano in galleria, ecc.. qui non sara' diverso.
Per articolo cradere che in un Social ci sia Privacy e' ridicolo ed utopico.

Purtroppo non proverebbe nulla perché non posso sapere se hai l'accesso root al tuo dispositivo, o usi altri metodi esotici per salvare l'immagine.
Puoi postare il link a questa guida passo-passo? I post su Reddit e simili li ho già visti.

Allora il percorso esatto è il seguente:

/data_mirror/data_ce/null/0/com.whatsapp/files/ViewOnce

L'immagine va ovviamente prima scaricata in locale se non avete il download sempre consentito ma NON aperta e la trovate in quella cartella che ho messo sopra come semplice JPG.

Tra l'altro questo è solo uno dei tanti modi... un'altro è usare ADB.

adb shell screencap -p > schermata.jpg E ti fai uno screenshot aggirando le restrizioni

adb shell screenrecord /sdcard/video.mp4 e ti fai il filmino

Se non vi fermate semplicemente alle pagine suggerite da google ma cercate un po' a fondo di sistemi per salvarsi le foto view once che ne sono tantissimi.

Eccotene un'altro:

Ti arriva un viewonce, a quel punto ti fai un backup locale dei messaggi di whatsapp a quel punto ti basta ogni volta ripristinare quel backup e ogni volta ti fa rivedere la foto quante volte vuoi... non comodissimo ma funziona.

ripeto, se la cosa funzionasse realemnte sarebbe il bug del secolo...

Leggi subito sopra ti ho messo vari sistemi che puoi provare anche da solo.

Semplicemente la gente non fa nemmeno lo sforzo di documentarsi perché di sistemi per aggirare il view once ce ne sono da sempre.

Vuoi un altro sistema facilissimo?

Attivi lo screen mirroring con un qualsiasi PC o TV Smart a quel punto usi anche solo e banalmente lo strumento di cattura o una qualsiasi funzione screenshot e hai fatto.


Ma seriamente credete che uno come me che ha passato le giornate su xdaforum per studiare come aggirare qualsiasi tipo di restrizione, a modificare rom e quant'altro non riusciva a salvare una JPG di whatsapp?!

Queste cose sono solo questione di volontà... su xda sono riusciti a fare lo spoofing aggirando i controlli di google per usare il wallet anche con rom cucinate figuriamoci se non trovano mille modi di aggirare whatsapp.

Secondo il database NIST (https://nvd.nist.gov/vuln/search/results?isCpeNameSearch=false&cpe_vendor=cpe%3A%2F%3Awhatsapp&results_type=overview&form_type=Advanced&search_type=all&startIndex=0) nel corso della sua storia whatsapp ha avuto molte vulnerabilità CVE gravi e critiche che permettono il controllo da remoto o la perdita di dati (16 critiche, 14 alte, 11 medie e 1 bassa).

Allora il percorso esatto è il seguente:
/data_mirror/data_ce/null/0/com.whatsapp/files/ViewOnce

Allora, sul mio vetusto terminale Android 10 non esiste nessun percorso del genere, e comunque non esiste in tutto il file system alcuna cartella con quel nome o con un nome simile. Non so più come dirlo.
I riferimenti che ho trovato in rete a quella cartella parlano comunque di accesso root.

Tra l'altro questo è solo uno dei tanti modi... un'altro è usare ADB.
Usare strumenti di debug lo metto al pari del fare il root, non c'entra nulla con la banale copia di un file da una cartella accessibile.

Ti arriva un viewonce, a quel punto ti fai un backup locale dei messaggi di whatsapp a quel punto ti basta ogni volta ripristinare quel backup e ogni volta ti fa rivedere la foto quante volte
Questo è demenziale, e comunuque non hai copiato il file.

Attivi lo screen mirroring con un qualsiasi PC o TV Smart a quel punto usi anche solo e banalmente lo strumento di cattura o una qualsiasi funzione screenshot e hai fatto.
Questa è una tua fantasia, che non hai nemmeno provato altrimenti sapresti che la modalità di visualizzazione di quei contenuti inibisce il mirroring allo stesso modo come inibisce lo screenshot (ti trovi solo uno sfondo nero).


E' chiaro che nessuno pensa che sia impossibile duplicare una foto o video "view once". Qualunque bipede pensante capisce che se un'immagine la posso vedere coi miei occhi, allora la posso duplicare. Solo non è così facile come copiare un file imboscato in una cartella, almeno a me non risulta così, e continua a non risultarmi così.

PS: la "guida passo-passo" non è pervenuta...

Allora, sul mio vetusto terminale Android 10 non esiste nessun percorso del genere, e comunque non esiste in tutto il file system alcuna cartella con quel nome o con un nome simile. Non so più come dirlo.
I riferimenti che ho trovato in rete a quella cartella parlano comunque di accesso root.

Android 10 alzo le mani... io sto utilizzando la versione 13 e la 10 è di talmente tanto tempo fa che non so dire con certezza se valga o meno.

Usare strumenti di debug lo metto al pari del fare il root, non c'entra nulla con la banale copia di un file da una cartella accessibile.

Oddio... non è proprio la stessa cosa eh. Il root prevede delle procedure che per alcuni possono essere anche complesse, violare il sistema ecc... ecc...

Usare ADB basta un cavetto USB e non ti dico che fai copia/incolla e via ma basta veramente poco per saperlo usare almeno per cose così semplici.

Questa è una tua fantasia, che non hai nemmeno provato altrimenti sapresti che la modalità di visualizzazione di quei contenuti inibisce il mirroring allo stesso modo come inibisce lo screenshot (ti trovi solo uno sfondo nero).

Io uso il metodo che ti ho detto (quello della cartella) gli altri li ho semplicemente presi e riportati. Non pensavo inibisse anche il mirroring sinceramente.

E' chiaro che nessuno pensa che sia impossibile duplicare una foto o video "view once". Qualunque bipede pensante capisce che se un'immagine la posso vedere coi miei occhi, allora la posso duplicare. Solo non è così facile come copiare un file imboscato in una cartella, almeno a me non risulta così, e continua a non risultarmi così.

PS: la "guida passo-passo" non è pervenuta...

Eh appena arrivo a casa te la metto... da lavoro non posso accedere a qualsiasi sito.

Android 10 alzo le mani... io sto utilizzando la versione 13 e la 10 è di talmente tanto tempo fa che non so dire con certezza se valga o meno.
Immagino che wa sia sempre quello.

Qui puoi vedere che non c'è quella cartella nell'albero di wa, e comunque non è reperibile in tutto il file system:

https://i.ibb.co/ZVttxTv/Screenshot.jpg (https://ibb.co/ZVttxTv)

Usare ADB basta un cavetto USB e non ti dico che fai copia/incolla e via ma basta veramente poco per saperlo usare almeno per cose così semplici.
Non è comunque come copiare un file. Ammettendo che funzioni.

Io uso il metodo che ti ho detto (quello della cartella) gli altri li ho semplicemente presi e riportati. Non pensavo inibisse anche il mirroring sinceramente.
Provato personalmente: mirroring verso notebook con Win10, appare un bel rettangolo nero. Direi che è una funzionalità di Android: se una superficie non deve essere screenshottabile non deve essere nemmeno mirrorabile, altrimenti gli sviluppatori di Android sarebbero dei tonti.

Immagino che wa sia sempre quello.

Qui puoi vedere che non c'è quella cartella nell'albero di wa, e comunque non è reperibile in tutto il file system:

https://i.ibb.co/ZVttxTv/Screenshot.jpg (https://ibb.co/ZVttxTv)


Non è comunque come copiare un file. Ammettendo che funzioni.

Sei nella cartella sbagliata. Stai cercando in storage che è la memoria dispositivo. Invece devi cercare nella cartelle nella memoria di sistema.

Per intendersi deve essere come te l'ho scritto io e non /storage altrimenti è normale che non lo trovi. Quelle cartelle che vedi lì le vedresti anche con una banale app galleria.
Io uso X-plore come app perché ti fa capire bene in che memoria stai cercando ma te usa pure ciò che ritieni meglio.

Sei nella cartella sbagliata. Stai cercando in storage che è la memoria dispositivo. Invece devi cercare nella cartelle nella memoria di sistema.

Per intendersi deve essere come te l'ho scritto io e non /storage altrimenti è normale che non lo trovi. Quelle cartelle che vedi lì le vedresti anche con una banale app galleria.
Io uso X-plore come app perché ti fa capire bene in che memoria stai cercando ma te usa pure ciò che ritieni meglio.

Non so più come dirtelo: nel mio dispositivo non esiste nessuna cartella con quel nome o nome simile, a partire dalla radice del File System. Più di così non so come esprimerlo, devo fare il disegnino?

Si può accedere alle cartelle che dici solo tramite root o tramite adb o con applicazioni che "emulano" adb.
Oppure hai una ROM modificata con montato quel percorso.

Seguo con interesse gli sviluppi della discussione...:)

p.s.

ricordiamolo sempre, quando una foto, un documento, un qualsivoglia file viene condiviso la privacy se ne va a donnine, per sempre. La verità è questa. :fagiano:

*

Scusate eh.. ma io pretendo che ci sia anche la funzione "NON ACCETTARE MESSAGGI A SCADENZA" da poter attivare perchè nessuno possa mandarmi messaggi che si autodistruggono.

Se mi scrivi qualcosa accetti il fatto che RESTA.
I giochini vadano a farli all'asilo.