WhatsApp 的「閱後即焚訊」功能原本設計為隱私保護措施,讓照片、影片和語音訊息在接收者觀看後自動銷毀。然而,加密錢包新創公司 Zengo 的資安研究人員發現此功能存在漏洞,可以繞過限制重複檢視這些訊息。
漏洞細節與修補嘗試
Zengo 團隊於去年 8 月透過 Meta 的漏洞回報計劃通報此安全弱點,但未獲回應。在發現多款軟體利用此漏洞擷取自毀圖片後,Zengo 決定公開披露細節。
問題根源在於 WhatsApp 伺服器將「檢視一次」訊息視為普通訊息,僅附加一個請求單次顯示的標記。惡意應用程式可與伺服器通訊並忽略此請求,繞過限制。
https://youtu.be/Fb0SNonJC5g
Meta 未能徹底修復漏洞仍然存在
Meta 在披露後數天內更新程式碼,試圖加強「檢視一次」功能的安全性。然而,Zengo 重新調查後發現,這次更新並未完全解決問題,核心漏洞依然存在。
Zengo 共同創辦人 Tal Be'ery 表示,雖然 Meta 的修補是朝正確方向邁進的初步舉措,但仍不足以解決根本問題。「檢視一次」媒體訊息中仍包含所有必要資訊,使不應能夠顯示訊息的環境也能檢視內容。
業界反應與未來展望
一名曾開發利用此漏洞的擴充功能的開發者已確認找到繞過更新後 WhatsApp 程式碼的方法,並將發布新版擴充功能。Be'ery 指出,問題的根源在於這些應該自動銷毀的訊息仍被發送到不應接收的平台。在 Meta 改變這一點之前,問題可能會持續存在。他也對 Meta 遲遲未回應 Zengo 的漏洞報告表示失望,這違反了其漏洞回報計劃的服務條款。
NewMobileLife 網站:https://www.newmobilelife.com
Facebook:https://www.facebook.com/jetsoiphone
留言 0