Una falla di Whatsapp consente di vedere più volte i messaggi "visualizza una sola volta"
Scritto con il supporto dell'AI
Un team di sviluppatori ha scoperto una grava falla nei messaggi "one-shot" di Whatsapp che permette a chiunque riceva uno di questi messaggi di poterlo vedere, salvare e inoltrare infinite volte. Il problema è legato a come questi messaggi vengano inviati dal server ai rispettivi client, indistintamente che questi ultimi siano o meno in grado di garantire che il file o messaggio possa effettivamente venir visto una sola volta.
La funzione "Visualizza una volta" è disponibile solo sui dispositivi mobili, non sull'app web, ed è stata supportata per la prima volta nel 2021.Un team di sviluppatori ha scoperto una grava falla nei messaggi "one-shot" di Whatsapp che permette a chiunque riceva uno di questi messaggi di poterlo vedere, salvare e inoltrare infinite volte. Il problema è legato a come questi messaggi vengano inviati dal server ai rispettivi client, indistintamente che questi ultimi siano o meno in grado di garantire che il file o messaggio possa effettivamente venir visto una sola volta.
Tra le varie ricerche, il team di Zengo ha scoperto su GitHub esempi di codice relativi a un client Android modificato e a un'estensione per Chrome che permetterebbero a chiunque di sfruttare la vulnerabilità. Per questo motivo, il team ha deciso di rinunciare al consueto periodo di attesa di 90 giorni previsto e rendere subito pubblica la scoperta.
La prima notifica a Whatsapp è avvenuta il 26 Agosto tramite il programma Bug Bounty ufficiale di Meta, e una fix è in corso di sviluppo ma a quanto pare, non ancora disponibile.
Di seguito i due video PoC che dimostrano la vulnerabilità:
La prima notifica a Whatsapp è avvenuta il 26 Agosto tramite il programma Bug Bounty ufficiale di Meta, e una fix è in corso di sviluppo ma a quanto pare, non ancora disponibile.
Di seguito i due video PoC che dimostrano la vulnerabilità:
Vedi: https://www.youtube.com/watch?v=Fb0SNonJC5g&ab_channel=ZengoWallet
Vedi: https://www.youtube.com/watch?v=GE1z5nnzHvM&ab_channel=TalBe%27ery
Ulteriori riferimenti e dettagli li potete trovare ai seguenti link
- Experts demonstrated how to bypass WhatsApp View Once feature, securityaffairs.com
- Once and Forever: WhatsApp’s View Once Functionality is Broken, medium.com; TalBeerySec
- Mo’ Platforms, Mo’ Problems: WhatsApp’s View Once privacy issue, zengo.com
