研究员发现,WhatsApp的“阅后即焚”功能实际上是发送加密的媒体消息到接收者的所有设备上,这些消息与正常的消息几乎相同,但包含了加密数据的URL和解密密钥。此外,“阅后即焚”消息还设置了一个“view once”标志为“true”。然而,攻击者可以通过设置这个“view once”标志为“false”来绕过这个功能,从而允许消息被下载、转发和分享。
Zengo团队表示他们发现这一漏洞已被在野利用一年多。他们在GitHub上找到了一些代码示例,包括一个修改后的Android客户端和一个Chrome扩展,这些代码可以让攻击者轻易地绕过这个限制。
由于该漏洞已得到证实可被利用,Zengo团队决定放弃通常的90天等待期,而改为直接公开此漏洞。他们在8月26日就此问题通知了WhatsApp,并通过Meta的漏洞赏金计划提交了报告。
“……唯一比没有隐私更糟糕的是虚假的隐私感,在这种情况下,用户被误导以为某些形式的通信是私有的,但事实却并非如此。目前,WhatsApp的‘阅后即焚’功能就是一种虚假的隐私感,应该要么彻底修复,要么放弃。” Zengo团队强调道。
据悉,WhatsApp目前已确认此问题并积极进行修复,将在测试成功后推出新版本。
资讯来源:zengo
转载请注明出处和本文链接
球分享
球点赞
球在看