تكنولوجيا

ثغرة خطيرة بأشهر مزايا واتساب تهدّد الملايين

الأربعاء، 11 سبتمبر 2024 05:14 مـ بتوقيت القاهرة

اكتشف الباحثون خللاً خطيرًا في أشهر مزايا واتساب الحديثة، والذي من شأنه أن يسمح للمتسللين بتجاوز ميزة العرض مرة واحدة "View Once" في التطبيق، مما يعني أنه تمت مشاركة الصور والدردشات الخاصة دون موافقة.

وتعني ميزة "العرض مرة واحدة"، التي تم تقديمها في تطبيق واتساب في عام 2022، أنه لا يمكن إعادة فتح بعض الوسائط والرسائل أو التقاط لقطة شاشة لها أو تسجيل الشاشة بعد إرسالها للطرف الآخر بالمحادثة.

ووفقا لـ واتساب، سيختفي مقطع الفيديو أو الصور المرسلة ضمن ميزة "العرض مرة واحدة" بالتطبيق تلقائيا من الدردشات بعد فتحه لأول مرة.

وبمجرد إرسال المحتوى بخاصية "العرض مرة واحدة"، سواء كانت صورة أو فيديو أو رسالة صوتية، فلن يتمكن كلا طرفي المحادثة من عرضها مرة أخرى، ولن يتم حفظها في تطبيق المعرض الخاص بهاتف المستلم، وفي الوقت نفسه لا يستطيع التقاط لقطة شاشة لأي شيء ترسله باستخدام العرض مرة واحدة.

ومع ذلك، اكتشفت إحدى شركات الأمن السيبراني مؤخرا ثغرة خطيرة في تطبيق واتساب على الويب يسمح لأي شخص بتجاوز إجراء الخصوصية لميزة "العرض مرة واحدة"، حيث يمكن للمستلمين حفظ الرسائل المختفية، مما قد يضر بالطبيعة العابرة المقصودة للمحتوى.

ثغرة خطيرة تسمح بتجاوز ميزة "العرض مرة واحدة" في واتساب

وتكمن الثغرة الأمنية، التي اكتشفها فريق أبحاث Zengo، في كيفية تنفيذ واتساب لميزة "العرض مرة واحدة"، فعندما يرسل مستخدم صورة أو مقطع فيديو مختفيا، فهي في الأساس رسالة وسائط عادية مع علامة إضافية تم تعيينها على "صحيح" تشير إلى أنه من المفترض أن تختفي بعد مشاهدتها.

ومع ذلك، وجد خبراء الأمن أن تطبيق الويب الخاص بـ واتساب فشل في تنفيذ القيود المناسبة على الوصول إلى هذه الوسائط، حيث تمكن المتسللون من حفظ ومشاركة نسخ من رسائل View One في حسابات واتساب المخترقة.

وأوضح فريق Zengo، أن المتسللين يمكنهم إيقاف تشغيل ميزة العرض مرة واحدة بعد إرسال المحتوى إلى المستلم، مما يتيح لهم تنزيل المحتوى وإعادة توجيهه ومشاركته أيضا.

ويتم إرسال الرسائل المختفية بعنوان URL يشير إلى ملف الوسائط المستضاف على خوادم واتساب ومفتاح لفك التشفير، في حين أن علامة “العرض مرة واحدة” تقيد كيفية عرض تطبيق الهاتف المحمول للمحتوى الذي يختفي بعد مشاهدته لأول مرة، فإن تطبيق الويب لا يفرض هذا القيد.

ومن خلال معالجة العلامة والوصول إلى عنوان URL للوسائط مباشرةً، يمكن لأي شخص حفظ الرسالة المختفية قبل أن تدمر نفسها ذاتيا، وهذا يثير مخاوف بشأن الأمان العام لتطبيق الويب الخاص بالخاص بـ واتساب، في حين أنه يوفر سهولة الوصول إلى سطح المكتب، يبدو أنه يفتقر إلى نفس المستوى من ميزات الأمان مقارنة بتطبيقات الهاتف المحمول.

وتؤثر القدرة على تجاوز ميزة “العرض مرة واحدة” بشكل كبير على خصوصية المستخدمون الذين اعتمدوا على هذه الميزة لمشاركة معلومات حساسة، مثل كلمات المرور المؤقتة أو المستندات السرية أو الصور الخاصة، مما يجعلهم معرضين لخطر حفظ المحتوى الخاص بهم بشكل دائم، وقد يؤدي ذلك إلى الابتزاز أو سرقة الهوية أو الإضرار بالسمعة اعتمادا على طبيعة المحتوى المشترك.

بعد استكشاف الثغرة الأمنية، اتصل الباحثون بـ “ميتا”، الشركة الأم لـ واتساب، بشأن الثغرة الأمنية، واعترفت عملاقة التواصل الاجتماعي بوجود الثغرة الأمنية وتقوم بطرح تحديثات لمعالجة ثغرة "العرض مرة واحدة" في تطبيق الويب، ومع ذلك، لا يوجد تأكيد حتى الآن حول ما إذا كان سيتم إخطار المستخدمين الذين ربما قاموا بحفظ رسائلهم المختفية دون قصد.

ويعد خطأ “العرض مرة واحدة” بمثابة تذكير صارخ بأنه حتى ميزات الخصوصية يمكن اختراقها بسهولة، ومن غير الواضح ما إذا كانت الثغرة الأمنية لا تزال موجودة في تطبيق واتساب على أندرويد أو iOS.