WhatsApp, grave rischio privacy per gli utenti: la feature 'Visualizza una volta' può essere aggirata facilmente

WhatsApp, grave rischio privacy per gli utenti: la feature 'Visualizza una volta' può essere aggirata facilmente

Un team di ricercatori ha scoperto una vulnerabilità nella funzione "Visualizza una volta" di WhatsApp, che consente agli utenti di aggirare le protezioni sulla privacy e accedere ripetutamente a contenuti sensibili.

di pubblicata il , alle 11:31 nel canale Telefonia
WhatsApp
 

La funzione "Visualizza una volta" di WhatsApp, introdotta tre anni fa per garantire maggiore privacy agli utenti, è stata recentemente oggetto di una significativa vulnerabilità. Ricercatori di sicurezza hanno rivelato che questa caratteristica, progettata per consentire la visualizzazione di contenuti multimediali una sola volta, può essere facilmente aggirata.

L'app di messaggistica, con oltre 2 miliardi di utenti in tutto il mondo, aveva promosso questa funzionalità come un modo sicuro per condividere foto, video e messaggi vocali senza il rischio che venissero salvati, inoltrati o memorizzati attraverso uno screenshot. Tuttavia, il team di Zengo X ha scoperto che l'implementazione di Meta presenta gravi lacune. Secondo Tal Be'ery, CTO di Zengo, il problema risiede nel modo in cui WhatsApp gestisce questi messaggi "effimeri".

WhatsApp, rischio privacy sulla funzione "Visualizza una volta"

Invece di limitare l'accesso a un singolo dispositivo, l'app invia il contenuto a tutti i dispositivi associati all'account del destinatario. Inoltre, i file non vengono immediatamente cancellati dai server di WhatsApp dopo il download. La falla più critica riguarda il meccanismo di flag utilizzato per contrassegnare i messaggi come già visualizzati. Gli aggressori possono semplicemente modificare questo flag, consentendo il download e la condivisione illimitata del contenuto presumibilmente protetto.

Questa scoperta mette in discussione l'efficacia delle misure di privacy di WhatsApp. Be'ery sottolinea che offrire un falso senso di sicurezza potrebbe essere più dannoso dell'assenza totale di protezione, poiché gli utenti potrebbero condividere informazioni sensibili credendo erroneamente di essere al sicuro. La vulnerabilità non è solo teorica. Secondo BleepingComputer, da almeno un anno esistono estensioni per browser che sfruttano questa falla, permettendo agli utenti di salvare facilmente i messaggi condivisi con la feature.

Meta, la società madre di WhatsApp, ha riconosciuto il problema e ha dichiarato di essere al lavoro su una soluzione per la versione web dell'app. Tuttavia, rimane incerto se la vulnerabilità possa essere sfruttata anche attraverso app WhatsApp modificate. L'azienda continua a consigliare agli utenti di inviare messaggi effimeri solo a persone fidate, suggerendo implicitamente che la funzione potrebbe non essere completamente sicura come promosso al lancio.

Per gli utenti di WhatsApp, la rivelazione di Zengo sottolinea l'importanza di rimanere cauti quando si condividono informazioni sensibili, anche quando si utilizzano funzioni apparentemente sicure. In attesa di una soluzione definitiva da parte di Meta, gli utenti dovrebbero considerare attentamente quali contenuti condividere e con chi, indipendentemente dalle promesse di privacy offerte dall'app.

38 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TorettoMilano10 Settembre 2024, 11:34 #1
? davvero qualcuno pensa di sentirsi tutelato dal "visualizza una volta". anche funzionasse benissimo (lato whatasapp intendo) basta fare uno screen o fotografato da un altro cell
al13510 Settembre 2024, 11:37 #2
Originariamente inviato da: TorettoMilano
? davvero qualcuno pensa di sentirsi tutelato dal "visualizza una volta". anche funzionasse benissimo (lato whatasapp intendo) basta fare uno screen o fotografato da un altro cell


Lo screenshot non funziona, bisogna fare una foto con un altro cell.
agonauta7810 Settembre 2024, 11:38 #3
Sai i porno che girano con l'opzione visualizza solo una volta ...brava Giovanna brava
TorettoMilano10 Settembre 2024, 11:39 #4
Originariamente inviato da: al135
Lo screenshot non funziona, bisogna fare una foto con un altro cell.


ho aggiunto le due casistiche per l'evenienza, pure la registrazione video non funziona?
riaw10 Settembre 2024, 11:50 #5
la vera notizia è che qualcuno crede di avere della privacy usando un servizio di facebook e usando l'opzione "visualizza una volta"....
Saturn10 Settembre 2024, 11:52 #6
Originariamente inviato da: al135
Lo screenshot non funziona, bisogna fare una foto con un altro cell.


Il tutto se utilizzi Whatsapp da smartphone, già ad utilizzare la versione app o web rende oltremodo vane tante limitazioni lato sicurezza di questa applicazione. Per non parlare poi se si va a gironzolare con una qualunque gestore file all'interno delle cartelle dello stesso...ti salvi l'impossibile e anche di più...senza neanche scomodare il root.
Saturn10 Settembre 2024, 11:53 #7
p.s.

ricordiamolo sempre, quando una foto, un documento, un qualsivoglia file viene condiviso la privacy se ne va a donnine, per sempre. La verità è questa.
agonauta7810 Settembre 2024, 12:15 #8
Se li fai una volta nessuno ha la rapidità di fare foto o cercare uno smartphone per salvare . Se è una cosa continua ci si attrezza
Saturn10 Settembre 2024, 12:16 #9
Originariamente inviato da: mally
lato web le foto a tempo non penso funzionino, o si?


No in effetti mi riferivo a stati e altre foto normali, quelle a tempo a pensarci bene sono apribili solo da smartphone, ne da app windows, ne da web...sarei curioso comunque di sbirciare all'interno della cartella whatsapp dello smartphone a tempo perso (se qualcuno l'ha fatto, ci dica) per vedere se come spero le suddette "foto a tempo" siano comunque inaccessibili.

Tutto questo ripeto con l'applicazione ufficiale come giustamente anche riportato nell'articolo.

Mi verrebbe in mente, così di getto, che potrei benissimo virtualizzare un android, installare whatsapp, associare il mio account e fare screenshot di tutto quello che mi pare, foto a tempo comprese...ma appunto, come da notizia, sicuramente ci saranno modi molto più rapidi e semplici...

...io semplicemente NON CONDIVIDEREI qualcosa a tempo...per assurdo anche se di qualità inferiore, basta la foto della foto e la privacy va a farsi benedire...
destroyer8510 Settembre 2024, 12:16 #10
Riassumendo, la chiave dietro decryptazione del media protetto viene inviata anche ai client che non supportano il view once (web browser e client desktop) quindi basta far credere al browser che il messaggio non sia del tipo view once tramite javascript e il client mostra l'immagine.
Lasciare questa funzionalità al client e non controllata dalle api lato server è un errore abbastanza grave.
Un po' come implementare una protezione dagli attacchi brute force nel client e non nel server.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^