WhatsAppの「View Once」プライバシー機能をバイパスできるバグが発見される
WhatsAppは、20億以上のユーザーを持つ世界で最も人気のあるエンドツーエンド暗号化されたメッセージングアプリで、ユーザーは開いた直後に消える写真や動画を交換することができます。
しかし、WhatsAppがブラウザベースのWebアプリでその「View Once」機能を実装する方法にバグがあり、悪意のある受信者が写真や動画を表示して保存できるようになっています。
「View Once」機能は、WhatsAppのAndroidおよびiOSのモバイルアプリでのみ動作するように設計されています。WhatsAppは、2021年にこの機能を導入しました。
通常の状況では、ユーザーがデスクトップアプリやWebアプリでWhatsAppを使用しているときに、「View Once」写真や動画を受信すると、その写真や動画は自分の電話でのみWhatsAppを使用して開くことができるという警告が表示されます。
さらなるプライバシー保護として、WhatsAppはAndroidおよびiOSアプリで「View Once」写真や動画のスクリーンショットや画面録画を防止しています。
長期間にわたりWhatsAppのプライバシー問題を研究してきたセキュリティ研究者であるタル・ベーリーは、最近このバグを発見しました。昨日、ベーリーは自分の調査結果を詳細に説明したブログ投稿を公開しました。
先週、ベーリーはTechCrunchにこのバグのライブデモを提供し、WhatsAppのWebを使用して送信された「View Once」として送信された写真のコピーをキャプチャして保存することができたことを示しました。
「プライバシーがないことよりも悪いのは、ユーザーが特定のコミュニケーション形式がプライベートであると信じ込まされる虚偽のプライバシーです。現在、WhatsAppの「View Once」は、虚偽のプライバシーの鈍い形態であり、徹底的に修正されるか、放棄されるべきである」と書かれたZengoのCTO兼共同創設者であるベーリーは、自身のブログ投稿で述べています。
お問い合わせ
WhatsAppや他のメッセージングアプリのバグについての情報をお持ちですか?非業務デバイスから、Lorenzo Franceschi-BicchieraiにSignalでセキュアに連絡することができます(+19172571382)、またはTelegramとKeybase @lorenzofb、または電子メールで連絡できます。また、TechCrunchにSecureDropを介して連絡することもできます。ベーリーは、8月26日にWhatsAppの親会社Metaにこのバグを正式なバグ報奨プラットフォームを通じて報告しました。
先週のTechCrunchからのコメントリクエストに対する回答として、ベーリーがバグレポートを提出してから数日後、WhatsAppの広報担当者ザデ・アルサワ氏は声明を送りました。「現在、WebでのView Onceの更新を進めております。ユーザーに対して、View Onceメッセージを信頼できる人にだけ送信するように引き続きお勧めします」と述べています。
ベーリーはこのバグを見つけた最初の人ではありません。ベーリーとTechCrunchは、WhatsAppのWebアプリを使用して「View Once」機能をバイパスするのが非常に簡単な複数のブラウザ拡張機能を宣伝する投稿を見ました。TechCrunchは、ソーシャルメディアで機能をバイパスする方法について議論されている活発な議論も見ています。TechCrunchは、悪意のある行為者がこのバグを悪用するのを助けることがないように、投稿へのリンクは行いません。
WhatsAppは、View Onceの更新を完了する予定のタイムラインを提供していません。