WhatsApp, grave rischio privacy per gli utenti: la feature 'Visualizza una volta' può essere aggirata facilmente

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/telefo...te_130569.html

Un team di ricercatori ha scoperto una vulnerabilità nella funzione "Visualizza una volta" di WhatsApp, che consente agli utenti di aggirare le protezioni sulla privacy e accedere ripetutamente a contenuti sensibili.

Click sul link per visualizzare la notizia.

[TorettoMilano]

? davvero qualcuno pensa di sentirsi tutelato dal "visualizza una volta". anche funzionasse benissimo (lato whatasapp intendo) basta fare uno screen o fotografato da un altro cell

[al135]

Quote:

Originariamente inviato da TorettoMilano

? davvero qualcuno pensa di sentirsi tutelato dal "visualizza una volta". anche funzionasse benissimo (lato whatasapp intendo) basta fare uno screen o fotografato da un altro cell

Lo screenshot non funziona, bisogna fare una foto con un altro cell.

[agonauta78]

Sai i porno che girano con l'opzione visualizza solo una volta ...brava Giovanna brava

[TorettoMilano]

Quote:

Originariamente inviato da al135

Lo screenshot non funziona, bisogna fare una foto con un altro cell.

ho aggiunto le due casistiche per l'evenienza, pure la registrazione video non funziona?

[riaw]

la vera notizia è che qualcuno crede di avere della privacy usando un servizio di facebook e usando l'opzione "visualizza una volta"....

[Saturn]

Quote:

Originariamente inviato da al135

Lo screenshot non funziona, bisogna fare una foto con un altro cell.

Il tutto se utilizzi Whatsapp da smartphone, già ad utilizzare la versione app o web rende oltremodo vane tante limitazioni lato sicurezza di questa applicazione. Per non parlare poi se si va a gironzolare con una qualunque gestore file all'interno delle cartelle dello stesso...ti salvi l'impossibile e anche di più...senza neanche scomodare il root.

[Saturn]

p.s.

ricordiamolo sempre, quando una foto, un documento, un qualsivoglia file viene condiviso la privacy se ne va a donnine, per sempre. La verità è questa.

[agonauta78]

Se li fai una volta nessuno ha la rapidità di fare foto o cercare uno smartphone per salvare . Se è una cosa continua ci si attrezza

[Saturn]

Quote:

Originariamente inviato da mally

lato web le foto a tempo non penso funzionino, o si?

No in effetti mi riferivo a stati e altre foto normali, quelle a tempo a pensarci bene sono apribili solo da smartphone, ne da app windows, ne da web...sarei curioso comunque di sbirciare all'interno della cartella whatsapp dello smartphone a tempo perso (se qualcuno l'ha fatto, ci dica) per vedere se come spero le suddette "foto a tempo" siano comunque inaccessibili.

Tutto questo ripeto con l'applicazione ufficiale come giustamente anche riportato nell'articolo.

Mi verrebbe in mente, così di getto, che potrei benissimo virtualizzare un android, installare whatsapp, associare il mio account e fare screenshot di tutto quello che mi pare, foto a tempo comprese...ma appunto, come da notizia, sicuramente ci saranno modi molto più rapidi e semplici...

...io semplicemente NON CONDIVIDEREI qualcosa a tempo...per assurdo anche se di qualità inferiore, basta la foto della foto e la privacy va a farsi benedire...

[destroyer85]

Riassumendo, la chiave dietro decryptazione del media protetto viene inviata anche ai client che non supportano il view once (web browser e client desktop) quindi basta far credere al browser che il messaggio non sia del tipo view once tramite javascript e il client mostra l'immagine.
Lasciare questa funzionalità al client e non controllata dalle api lato server è un errore abbastanza grave.
Un po' come implementare una protezione dagli attacchi brute force nel client e non nel server.

[frncr]

Quote:

Originariamente inviato da Saturn

già ad utilizzare la versione app o web rende oltremodo vane tante limitazioni lato sicurezza di questa applicazione

Da web le immagini one-time sono disabilitate, perciò la sicurezza è al 100%; con l'app su PC non so, se non sono disabilitate anche lì la sicurezza è inesistente.
Su Android non mi risulta nessun sistema per aggirare la protezione, salvo ovviamente fotografare lo schermo oppure root del dispositivo, o roba ancora più esotica come Android in emulazione nel PC.

[frncr]

Quote:

Originariamente inviato da agonauta78

Se li fai una volta nessuno ha la rapidità di fare foto o cercare uno smartphone per salvare . Se è una cosa continua ci si attrezza

Non mi pare che ci sia un tempo limite di visualizzazione, c'è solo la visualizzazione singola. Oppure è un tempo molto lungo.

[frncr]

Quote:

Originariamente inviato da frncr

Da web le immagini one-time sono disabilitate, perciò la sicurezza è al 100%; con l'app su PC non so, se non sono disabilitate anche lì la sicurezza è inesistente.

In effetti esiste un'oscura estensione a pagamento per Chrome che promette di attivare la visualizzazione dei messaggi view-once via web. Secondo me chi installa un'estensione del genere dovrebbe preoccuparsi della sua privacy, prima di violare quella dell'interlocutore...

[Darkon]

Quote:

Originariamente inviato da frncr

Da web le immagini one-time sono disabilitate, perciò la sicurezza è al 100%; con l'app su PC non so, se non sono disabilitate anche lì la sicurezza è inesistente.
Su Android non mi risulta nessun sistema per aggirare la protezione, salvo ovviamente fotografare lo schermo oppure root del dispositivo, o roba ancora più esotica come Android in emulazione nel PC.

Esiste eccome... la foto viene salvata in una cartella chiamata viewonce, basta sapere dove andare a cercare fra le cartelle di android e trovi una bella jpg che copi e incolli in qualsiasi altra cartella e non si cancella più. Tra l'altro tutto fattibile e semplicissimo senza installare estensioni o roba strana di dubbia provenienza. Basta semplicemente avere una app, va bene anche quella di samsung preinstallata in tanti modelli, per esplorare le cartelle.

Facilissimo.

[frncr]

Quote:

Originariamente inviato da Darkon

Esiste eccome... la foto viene salvata in una cartella chiamata viewonce, basta sapere dove andare a cercare fra le cartelle di android e trovi una bella jpg che copi e incolli in qualsiasi altra cartella e non si cancella più.

Ma tu hai verificato o riporti semplicemente le sciocchezze che si trovano su Reddit? Nel mio wa su Android non esiste nessun folder "viewonce", e ritengo che non esista in generale.

[Saturn]

Quote:

Originariamente inviato da Darkon

Esiste eccome... la foto viene salvata in una cartella chiamata viewonce, basta sapere dove andare a cercare fra le cartelle di android e trovi una bella jpg che copi e incolli in qualsiasi altra cartella e non si cancella più. Tra l'altro tutto fattibile e semplicissimo senza installare estensioni o roba strana di dubbia provenienza. Basta semplicemente avere una app, va bene anche quella di samsung preinstallata in tanti modelli, per esplorare le cartelle.

Facilissimo.

Ho trovato e verificato in quella cartella ma...nada nisba...ho due whatsapp mi son mandato dall'altro account un immagine a tempo e o la apro o non la apro in quella cartella l'immagine non c'è.

Hai provato in prima persona o come già ipotizzato hai rilanciato quanto letto su Internet ? Nel primo caso, sarei interessato ad avere maggiori informazioni...

[Saturn]

Quote:

Originariamente inviato da frncr

Ma tu hai verificato o riporti semplicemente le sciocchezze che si trovano su Reddit? Nel mio wa su Android non esiste nessun folder "viewonce", e ritengo che non esista in generale.

La cartella esiste, devi abilitare i files e le cartelle nascosti, però non son riuscito a replicare quanto affermato da lui...

[frncr]

Quote:

Originariamente inviato da Saturn

La cartella esiste, devi abilitare i files e le cartelle nascosti, però non son riuscito a replicare quanto affermato da lui...

Io non ho quella cartella. Per caso hai fatto il root?

[Saturn]

Quote:

Originariamente inviato da frncr

Io non ho quella cartella. Per caso hai fatto il root?

Assolutamente no. Magari....son dovuto tornare a condizioni di fabbrica l'anno scorso...non si campava più con google...