يستغل المهاجمون ثغرة الخصوصية في تطبيق المراسلة الفورية WhatsApp، الذي يستخدمه أكثر من 2 مليار مستخدم حول العالم، لتجاوز ميزة "العرض مرة واحدة" في التطبيق وعرض الرسائل مرة أخرى.
أفادت شركة Meta أن ميزة "العرض مرة واحدة" في WhatsApp (التي تم تقديمها قبل ثلاث سنوات) تمكن المستخدمين من مشاركة الصور ومقاطع الفيديو والرسائل الصوتية بشكل خاص، حيث لا ينبغي للمستلم أن يتمكن من إعادة توجيه رسائله أو مشاركتها أو نسخها أو التقاط لقطة شاشة لها؛ لأنها ستختفي تلقائيًا من الدردشات بعد فتحها مرة واحدة.
تشرح الشركة على موقع الدعم الخاص بها: "بمجرد إرسال صورة أو مقطع فيديو أو رسالة صوتية لعرضها مرة واحدة، فلن تتمكن من عرضها مرة أخرى". "لن يتم حفظ أي صور أو مقاطع فيديو ترسلها في صور أو معرض المستلم. ولا يمكن للمستلم أيضًا التقاط لقطة شاشة لأي شيء ترسله باستخدام ميزة "عرض مرة واحدة".
ومع ذلك، فإن ميزة "عرض مرة واحدة" ستمنع مستخدمي WhatsApp فقط من التقاط لقطة شاشة لما يتم إرساله على الأجهزة المحمولة؛ لأن منصات سطح المكتب والويب لا تدعم حظر لقطات الشاشة.
وعلاوة على ذلك، وجد فريق بحث Zengo X أن Meta نفذت هذه الميزة بطريقة وصفها الباحثون بأنها "طريقة مهملة"، مما يسمح للمهاجمين بحفظ ومشاركة نسخ من رسائل "عرض مرة واحدة" بسهولة.
أفاد مدير التكنولوجيا الرئيس لشركة Zengo،Tal Beery ، "لقد كشفنا عن نتائجنا بشكل مسؤول لشركة Meta، ولكن عندما أدركنا أن المشكلة مستغلة بالفعل، قررنا جعلها عامة لحماية خصوصية مستخدمي WhatsApp".
كما اكتشف باحثو الأمن في شركة Zengo، أن ميزة "العرض مرة واحدة" تُستخدم لإرسال رسائل وسائط مشفرة إلى جميع أجهزة المتلقي، وهي رسائل متطابقة تقريبًا مع الرسائل العادية، ولكنها تتضمن عنوان URL للبيانات المشفرة المستضافة على خادم الويب الخاص بـ WhatsApp ("مخزن blob store") والمفتاح لفك تشفيرها. بالإضافة إلى ذلك، فإن رسائل "العرض مرة واحدة" تضع علامة "العرض مرة واحدة" على "صحيح true".
أوضح Beery أن ميزة "العرض مرة واحدة" في واتساب تسمح للمستخدمين بإرسال رسائل لا ينبغي عرضها إلا مرة واحدة. ومع ذلك، يتم إرسال الرسائل إلى جميع أجهزة المتلقي، بما في ذلك تلك التي لا يُسمح لها بعرضها. بالإضافة إلى ذلك، لا يتم حذف الرسائل على الفور من خوادم واتساب بعد التنزيل.
هذا يجعل الحد من تعرض الوسائط للبيئات والمنصات الخاضعة للرقابة أمرًا مستحيلاً، خاصة وأن بعض إصدارات رسائل "العرض مرة واحدة" تحتوي أيضًا على معاينات وسائط منخفضة الجودة يمكن عرضها دون تنزيل.
علاوة على ذلك، تعمل رسائل "العرض مرة واحدة" مثل الرسائل العادية، ولكن مع علامة "العرض مرة واحدة". ومع ذلك، يمكن للمهاجمين تجاوز ميزة الخصوصية هذه عن طريق تعيين علامة "العرض مرة واحدة" هذه على false، مما يسمح بتنزيل الرسالة وإعادة توجيهها ومشاركتها.
واختتم Beery حديثه قائلاً: "الخصوصية أمر بالغ الأهمية للمراسلة الفورية. وقد أقر واتساب بذلك من خلال دعم التشفير من البداية إلى النهاية (End-to-End Encryption E2EE) لمحادثات مستخدميه افتراضيًا".
"ومع ذلك، فإن الشيء الوحيد الأسوأ من عدم وجود خصوصية هو الشعور الزائف بالخصوصية الذي يدفع المستخدمين إلى الاعتقاد بأن بعض أشكال الاتصال خاصة، بينما هي في الواقع ليست كذلك. حاليًا، تعد ميزة View once في WhatsApp شكلًا صريحًا من الخصوصية الزائفة، ويجب إما إصلاحها تمامًا أو التخلي عنها."
في حين أن باحثي Zengo هم أول من أبلغ عن المشكلة إلى Meta ونشر تقريرًا يوضح بالتفصيل مشكلة الخصوصية هذه، فقد تمت إساءة استخدام الخلل لحفظ رسائل "View Once" لمدة عام على الأقل، حتى إن أولئك الذين يستغلونها قاموا بإنشاء إضافات للمتصفح لتبسيط العملية بأكملها.
تعرف Bleeping Computer بوجود على الأقل إضافتين لمتصفح Google Chrome، إحداهما صدرت في عام 2023، يمكنهما تعطيل علامة View Once، مما يسمح بتجاوز الميزة.
ردت Meta على رسالة إلكترونية من Bleeping Computer بشأن التجاوز، قائلة إنهم يقومون حاليًا بطرح تغييرات على ميزة View Once. بينما يتم إصلاح WhatsApp Web، فمن غير الواضح ما إذا كان لا يزال من الممكن استغلال الثغرة الأمنية في الخصوصية باستخدام تطبيقات WhatsApp المخصصة.
صرح متحدث باسم WhatsApp لموقع Bleeping Computer قائلًا:"يعد برنامج مكافأة الباحثين عن الثغرات الأمنية لدينا وسيلة مهمة نتلقى من خلالها ملاحظات قيمة من الباحثين الخارجيين، ونحن بالفعل في عملية طرح تحديثات لعرض الرسائل مرة واحدة على الويب". "نستمر في تشجيع المستخدمين على إرسال رسائل لعرض الرسائل مرة واحدة فقط إلى الأشخاص الذين يعرفونهم ويثقون بهم".