.
Uma correção implementada pela Meta para impedir que as pessoas visualizem repetidamente as chamadas mensagens “Ver uma vez” do WhatsApp — fotos, vídeos e gravações de voz que desaparecem dos bate-papos depois que o destinatário as vê — foi derrotada em menos de uma semana por hackers white-hat.
O View Once foi introduzido em agosto de 2021 como uma medida de privacidade opcional. Mas na semana passada, os descobridores de falhas de segurança da startup de cryptowallet Zengo tornaram públicas maneiras de reviver o material autodestruído do View Once.
Zengo usou o programa de recompensa por bugs do Meta em agosto para relatar a falha de segurança ao WhatsApp, e não obteve resposta. Após detectar vários softwares que foram projetados para explorar essa falha e coletar fotos supostamente autodestrutivas, a empresa de criptomoedas divulgou publicamente os detalhes.
Alguns dias depois, o WhatsApp ajustou seu código para dificultar a burla das proteções do View Once, e a princípio pareceu ter funcionado: os sites do GitHub que hospedavam o código de exploração começaram a receber mensagens reclamando que as extensões de salvamento de conteúdo não funcionavam mais.
A Zengo investigou o problema novamente e descobriu que a atualização feita pelo Meta não foi suficiente e que o problema principal que permitia que criminosos reabrissem os dados do View Once ainda estava lá.
“Embora, em geral, a correção tenha sido um bom passo inicial na direção certa do WhatsApp da Meta, ainda não é suficiente”, escreveu o cofundador da Zengo, Tal Be’ery, em uma explicação na segunda-feira.
“O problema central da mensagem de mídia View Once contendo todas as informações necessárias para visualizá-la, em um ambiente que não deveria ser capaz de mostrá-la, ainda permanece sem solução. Para contornar a correção, os exploradores só precisam ir ‘upstream’ e alternar o sinalizador View Once para falso quando ele for recebido pelo aplicativo e antes de ser armazenado no banco de dados.”
O vídeo abaixo mostra que isso não é um feito assustadoramente complexo de se conseguir.
Vídeo do Youtube
“Mostramos que isso pode ser feito”, disse Be’ery O Registro“Então presumimos que outros também serão capazes de fazer isso.”
Com certeza, um dos desenvolvedores do exploit View Once confirmou que encontrou um mecanismo para contornar o código atualizado do WhatsApp e publicará uma nova extensão em breve.
O problema fundamental é que essas mensagens supostamente evaporantes ainda estão sendo enviadas para plataformas que não deveriam recebê-las, disse Be’ery. Até que a Meta mude isso, o problema parece provável que persista. Ele disse que também estava desapontado que, depois de tudo isso, a Meta ainda não havia entrado em contato com a Zengo, apesar de seus termos de serviço de recompensa por bugs prometerem comunicação frequente sobre envios.
A Meta se recusou a comentar O Registro.
Fontes familiarizadas com a situação, no entanto, nos disseram que a correção deveria ser apenas uma medida provisória e que uma reformulação mais abrangente do código está em andamento. ®
.
