WhatsApp, grave rischio privacy per gli utenti: la feature 'Visualizza una volta' può essere aggirata facilmente

Un team di ricercatori ha scoperto una vulnerabilità nella funzione "Visualizza una volta" di WhatsApp, che consente agli utenti di aggirare le protezioni sulla privacy e accedere ripetutamente a contenuti sensibili.
di Nino Grasso pubblicata il 10 Settembre 2024, alle 11:31 nel canale TelefoniaLa funzione "Visualizza una volta" di WhatsApp, introdotta tre anni fa per garantire maggiore privacy agli utenti, è stata recentemente oggetto di una significativa vulnerabilità. Ricercatori di sicurezza hanno rivelato che questa caratteristica, progettata per consentire la visualizzazione di contenuti multimediali una sola volta, può essere facilmente aggirata.
L'app di messaggistica, con oltre 2 miliardi di utenti in tutto il mondo, aveva promosso questa funzionalità come un modo sicuro per condividere foto, video e messaggi vocali senza il rischio che venissero salvati, inoltrati o memorizzati attraverso uno screenshot. Tuttavia, il team di Zengo X ha scoperto che l'implementazione di Meta presenta gravi lacune. Secondo Tal Be'ery, CTO di Zengo, il problema risiede nel modo in cui WhatsApp gestisce questi messaggi "effimeri".
WhatsApp, rischio privacy sulla funzione "Visualizza una volta"
Invece di limitare l'accesso a un singolo dispositivo, l'app invia il contenuto a tutti i dispositivi associati all'account del destinatario. Inoltre, i file non vengono immediatamente cancellati dai server di WhatsApp dopo il download. La falla più critica riguarda il meccanismo di flag utilizzato per contrassegnare i messaggi come già visualizzati. Gli aggressori possono semplicemente modificare questo flag, consentendo il download e la condivisione illimitata del contenuto presumibilmente protetto.
Questa scoperta mette in discussione l'efficacia delle misure di privacy di WhatsApp. Be'ery sottolinea che offrire un falso senso di sicurezza potrebbe essere più dannoso dell'assenza totale di protezione, poiché gli utenti potrebbero condividere informazioni sensibili credendo erroneamente di essere al sicuro. La vulnerabilità non è solo teorica. Secondo BleepingComputer, da almeno un anno esistono estensioni per browser che sfruttano questa falla, permettendo agli utenti di salvare facilmente i messaggi condivisi con la feature.
Meta, la società madre di WhatsApp, ha riconosciuto il problema e ha dichiarato di essere al lavoro su una soluzione per la versione web dell'app. Tuttavia, rimane incerto se la vulnerabilità possa essere sfruttata anche attraverso app WhatsApp modificate. L'azienda continua a consigliare agli utenti di inviare messaggi effimeri solo a persone fidate, suggerendo implicitamente che la funzione potrebbe non essere completamente sicura come promosso al lancio.
Per gli utenti di WhatsApp, la rivelazione di Zengo sottolinea l'importanza di rimanere cauti quando si condividono informazioni sensibili, anche quando si utilizzano funzioni apparentemente sicure. In attesa di una soluzione definitiva da parte di Meta, gli utenti dovrebbero considerare attentamente quali contenuti condividere e con chi, indipendentemente dalle promesse di privacy offerte dall'app.
38 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoLo screenshot non funziona, bisogna fare una foto con un altro cell.
ho aggiunto le due casistiche per l'evenienza, pure la registrazione video non funziona?
Il tutto se utilizzi Whatsapp da smartphone, già ad utilizzare la versione app o web rende oltremodo vane tante limitazioni lato sicurezza di questa applicazione. Per non parlare poi se si va a gironzolare con una qualunque gestore file all'interno delle cartelle dello stesso...ti salvi l'impossibile e anche di più...senza neanche scomodare il root.
ricordiamolo sempre, quando una foto, un documento, un qualsivoglia file viene condiviso la privacy se ne va a donnine, per sempre. La verità è questa.
No in effetti mi riferivo a stati e altre foto normali, quelle a tempo a pensarci bene sono apribili solo da smartphone, ne da app windows, ne da web...sarei curioso comunque di sbirciare all'interno della cartella whatsapp dello smartphone a tempo perso (se qualcuno l'ha fatto, ci dica) per vedere se come spero le suddette "foto a tempo" siano comunque inaccessibili.
Tutto questo ripeto con l'applicazione ufficiale come giustamente anche riportato nell'articolo.
Mi verrebbe in mente, così di getto, che potrei benissimo virtualizzare un android, installare whatsapp, associare il mio account e fare screenshot di tutto quello che mi pare, foto a tempo comprese...ma appunto, come da notizia, sicuramente ci saranno modi molto più rapidi e semplici...
...io semplicemente NON CONDIVIDEREI qualcosa a tempo...per assurdo anche se di qualità inferiore, basta la foto della foto e la privacy va a farsi benedire...
Lasciare questa funzionalità al client e non controllata dalle api lato server è un errore abbastanza grave.
Un po' come implementare una protezione dagli attacchi brute force nel client e non nel server.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".