Dünya çapında 2 milyardan fazla kullanıcısı olan anlık mesajlaşma uygulaması WhatsApp’taki bir gizlilik açığı, saldırganlar tarafından uygulamanın “Bir kez görüntüle” özelliğini aşarak mesajları tekrar görüntülemek için kullanılıyor.
Meta, WhatsApp’ın “Bir Kez Görüntüle” özelliğinin (üç yıl önce tanıtıldı) kullanıcılara fotoğraf, video ve sesli mesajları özel olarak paylaşma olanağı sağladığını, alıcının mesajlarını iletmesini, paylaşmasını, kopyalamasını veya ekran görüntüsünü almasını engellediğini, çünkü mesajların bir kez açıldıktan sonra sohbetlerden otomatik olarak kaybolacağını söylüyor.
Şirket, destek sitesinde yaptığı açıklamada, “Bir kez fotoğraf, video veya sesli mesaj gönderdiğinizde, onu bir daha görüntüleyemezsiniz” ifadesini kullandı.
“Gönderdiğiniz hiçbir fotoğraf veya video alıcının Fotoğraflar veya Galeri’sine kaydedilmeyecektir. Alıcı ayrıca view once kullanarak gönderdiğiniz hiçbir şeyin ekran görüntüsünü alamaz.”
Ancak “Bir kez görüntüle” seçeneği yalnızca WhatsApp kullanıcılarının mobil cihazlarda gönderilenlerin ekran görüntüsünü almasını engelleyecek çünkü masaüstü ve web platformları ekran görüntüsü engellemeyi desteklemiyor.
Zengo X Araştırma Ekibi ayrıca, Meta’nın bu özelliği araştırmacıların “ihmalkar bir şekilde” uyguladığını ve saldırganların “Bir kez görüntüle” mesajlarının kopyalarını kolayca kaydedip paylaşmasına olanak sağladığını tespit etti.
Zengo’nun CTO’su Tal Be’ery, “Bulgularımızı Meta’ya sorumlu bir şekilde açıklamıştık ancak sorunun halihazırda yaygın olarak kullanıldığını fark ettiğimizde, WhatsApp kullanıcılarının gizliliğini korumak için bunu kamuoyuna açıklamaya karar verdik” dedi.
Zengo güvenlik araştırmacılarının bulduğu gibi, “Bir kez görüntüle” özelliği, şifrelenmiş medya mesajlarını alıcının tüm cihazlarına göndermek için kullanılır; bu mesajlar normal bir mesajla neredeyse aynıdır ancak WhatsApp’ın web sunucusunda (“blob deposu”) barındırılan şifrelenmiş verilere bir URL ve şifresini çözmek için bir anahtar içerir. Ek olarak, “Bir kez görüntüle” mesajları “Bir kez görüntüle” bayrağını “doğru” olarak ayarlar.
“Sahte gizlilik duygusu”
Be’ery, WhatsApp’ın “Bir kez görüntüle” özelliğinin kullanıcıların yalnızca bir kez görüntülenmesi gereken mesajlar göndermesine izin verdiğini açıkladı. Yine de mesajlar, görüntülenmesine izin verilmeyenler de dahil olmak üzere alıcının tüm cihazlarına gönderilir. Ayrıca, mesajlar indirildikten sonra WhatsApp sunucularından hemen silinmez.
Bu durum, medyanın kontrollü ortamlara ve platformlara maruz kalmasının sınırlandırılmasını imkansız hale getiriyor, özellikle de “Bir kez görüntüle” mesajlarının bazı sürümlerinin, indirmeden görüntülenebilen düşük kaliteli medya önizlemeleri de içermesi nedeniyle.
Ayrıca, “Bir kez görüntüle” mesajları normal mesajlar gibi çalışır ancak “Bir kez görüntüle” bayrağı vardır. Ancak saldırganlar bu gizlilik özelliğini “bir kez görüntüle” bayrağını false olarak ayarlayarak aşabilir ve mesajın indirilmesine, iletilmesine ve paylaşılmasına izin verebilir.
“Gizlilik, Anlık Mesajlaşma için kritik öneme sahiptir. WhatsApp, kullanıcılarının sohbetlerinde varsayılan olarak Uçtan Uca Şifrelemeyi (E2EE) destekleyerek bunu kabul etti,” diye sonlandırdı Be’ery.
“Ancak, gizliliğin olmamasından daha kötü olan tek şey, kullanıcıların bazı iletişim biçimlerinin aslında özel olmadıkları halde özel olduğuna inanmaya yönlendirildiği yanlış bir gizlilik duygusudur. Şu anda, WhatsApp’ın View once özelliği yanlış gizliliğin açık bir biçimidir ve ya tamamen düzeltilmeli ya da terk edilmelidir.”
Zengo araştırmacıları bu sorunu Meta’ya bildiren ve bu gizlilik sorununu ayrıntılarıyla anlatan bir rapor yayınlayan ilk kişiler olsa da, söz konusu kusur en az bir yıl boyunca “Bir Kez Görüntüle” mesajlarını kaydetmek için kötüye kullanıldı ve bundan yararlananlar tüm süreci kolaylaştırmak için tarayıcı eklentileri bile oluşturdular.
BleepingComputer, biri 2023’te yayınlanan ve Bir Kez Görüntüle işaretini devre dışı bırakarak özelliğin atlatılmasına olanak tanıyan en az iki Google Chrome eklentisi olduğunu biliyor.
Meta, BleepingComputer’dan gelen bir e-postaya bypass ile ilgili yanıt verdi ve şu anda View Once özelliğinde değişiklikler yaptıklarını söyledi. WhatsApp Web’e bir düzeltme geliyor olsa da, gizlilik açığının özel WhatsApp uygulamaları kullanılarak hala istismar edilip edilemeyeceği belirsiz.
“Hata ödül programımız, dış araştırmacılardan değerli geri bildirimler almamızın önemli bir yoludur ve web’de bir kez görüntüle güncellemelerini yayınlama sürecindeyiz,” dedi bir WhatsApp sözcüsü BleepingComputer’a. “Kullanıcıları yalnızca tanıdıkları ve güvendikleri kişilere bir kez görüntüle mesajları göndermeye teşvik etmeye devam ediyoruz.”