Niektoré aplikácie používajú funkcie na šifrovanie odoslaných fotografií či správ. Vytvárajú v nás pocit, že sú údaje chránené. Populárna aplikácia pritom čelí vážnym problémom, a tak je ochrana posielaných dát len naoko.
Aplikácia WhatsApp, s viac než dvomi miliardami používateľov, čelí problémom s funkciou, ktorá ich pritom mala chrániť.
Spoločnosť Meta hovorí, že funkcia WhatsApp „Zobraziť raz“ (view once – predstavená pred tromi rokmi) umožňuje používateľom súkromne zdieľať fotografie, videá a hlasové správy. Ide o to, že príjemca by po pozretí nemal mať možnosť preposielať, zdieľať, kopírovať alebo snímať svoje správy, pretože po prvom otvorení automaticky zmizne z chatov. Informáciu priniesol portál bleepingcomputer.com.
„Žiadne fotky alebo videá, ktoré odošlete, sa neuložia do Fotiek alebo Galérie príjemcu. Príjemca si tiež nemôže urobiť snímku obrazovky ničoho, čo odošlete pomocou funkcie zobraziť raz.“
Možnosť „Zobraziť raz“ však zablokuje vytváranie snímok obrazoviek iba cez mobilné zariadenia, pretože počítačové a webové platformy nepodporujú blokovanie snímok obrazovky.
Výskumný tím Zengo X zistil, že Meta implementovala túto funkciu spôsobom, ktorý výskumníci opísali ako „nedbalý spôsob“, a útočníkom umožňuje jednoducho ukladať a zdieľať kópie správ „Zobraziť raz“.
„Zodpovedne sme zverejnili naše zistenia spoločnosti Meta, ale keď sme si uvedomili, že tento problém sa už zneužíva, rozhodli sme sa o tom informovať, aby sme ochránili súkromie používateľov WhatsApp,“ uviedol technický riaditeľ spoločnosti Zengo Tal Be’ery.
Vysvetlil, že funkcia WhatsApp „Zobraziť raz“ umožňuje používateľom odosielať správy, ktoré by sa mali zobraziť iba raz. Napriek tomu sa správy odosielajú do všetkých zariadení prijímača, vrátane tých, ktoré ich nemôžu zobrazovať. Okrem toho sa správy po stiahnutí neodstránia okamžite zo serverov WhatsApp.
Okrem toho správy „Zobraziť raz“ fungujú ako bežné správy, ale s tým, že po jednom zobrazení zmiznú. Teda mali by. Útočníci však môžu túto funkciu ochrany osobných údajov obísť. Pri funkcii „Zobraziť raz“ zmenia hodnotu „true“ na „false“, čo umožní správu stiahnuť, poslať ďalej a zdieľať.
„Ochrana osobných údajov je aktuálne kritická. WhatsApp to uznal tým, že štandardne podporuje End-to-End Encryption (E2EE) pre konverzácie svojich používateľov,“ uzavrel Be’ery.
„Avšak jediná vec, ktorá je horšia ako žiadne súkromie, je falošný pocit súkromia, v ktorom sú používatelia vedení k presvedčeniu, že niektoré formy komunikácie sú súkromné, aj keď v skutočnosti nie sú.“
Zatiaľ čo výskumníci spoločnosti Zengo sú prví, ktorí problém nahlásili spoločnosti Meta a zverejnili správu s podrobnými informáciami o tomto probléme s ochranou osobných údajov, táto chyba bola zneužitá na ukladanie správ „Zobraziť raz“ po dobu najmenej jedného roka, pričom tí, ktorí ju zneužívali, dokonca vytvorili doplnky prehliadača a zefektívnili celý proces krádeže.
BleepingComputer pozná najmenej dve rozšírenia Google Chrome, jedno vydané v roku 2023, ktoré dokážu zakázať funkciu „Zobraziť raz“ a umožňujú obísť túto funkciu.
Meta v súčasnosti zavádza zmeny v tomto doplnku. Zatiaľ čo na webe WhatsApp prichádza oprava, nie je jasné, či by sa chyba ochrany osobných údajov dala stále zneužiť pomocou vlastných aplikácií WhatsApp.
Hovorca WhatsApp tvrdí, že „náš program odmien za chyby je dôležitým spôsobom, ako dostávame cennú spätnú väzbu od externých výskumníkov.“
„Naďalej vyzývame používateľov, aby posielali správy „Zobraziť raz“ iba ľuďom, ktorých poznajú a ktorým dôverujú.“
