ברהנו טגניה: לאחר סריקות - לא נמצא שבר יירוט במפעלים בנגב
כך ניתן לעקוף את הצפייה החד פעמית בוואטסאפ
חוקר אבטחה ישראלי גילה מעקף חדש לפיצ'ר View Once, וטוען כי בפועל ההגנה נשברת בעוד מטא מגדירה את המנגנון כמאמץ חלקי בלבד
וואטסאפ צילום: ללא
חוקר האבטחה הישראלי טל בארי, המשמש גם כסמנכ"ל הטכנולוגיות של חברת זנגו, חשף דרך חדשה לעקוף את פיצ'ר הצפייה החד פעמית של וואטסאפ.
לפי הדיווח באתר גיקטיים, המנגנון שאמור לאפשר למשתמשים לשלוח תמונה, וידאו, טקסט או מסמך לצפייה אחת בלבד, ניתן לעקיפה באופן שהופך את התוכן לזמין לצפייה חוזרת, בניגוד גמור למה שהמשתמשים סבורים שהם מקבלים.
לפי בארי, לב המעקף נובע מהיכולת של לקוח ווב, או תוסף דפדפן, להצהיר כאילו הוא מכשיר מובייל שאמור לקבל הודעות חד פעמיות. בשיחה עם גיקטיים הוא הסביר כי ברגע שהשרת אינו מוודא בצורה מספקת שאכן מדובר בלקוח מובייל מורשה, ניתן לחשוף את התוכן של ההודעה ולשמור אותו כמו כל הודעה רגילה. לדבריו, זו אינה בעיה חסרת פתרון, והוא אף הצביע על כיווני מימוש אפשריים המבוססים על זיהוי חומרתי של לקוח תקין.
חשוב להדגיש כי זו אינה הפעם הראשונה שבארי מציף חולשה כזו בוואטסאפ. כבר לפני כשנתיים, במהלך מחקר שביצע סביב מנגנוני ההצפנה והאבטחה של האפליקציה, הוא גילה שהודעות מהסוג הזה נראות כמעט זהות להודעות רגילות, מלבד שדה שמסמן כי מדובר בהודעה חד פעמית. לדבריו, כל עוד מתעלמים מהשדה הזה, אפשר להפוך הודעה שיועדה לצפייה אחת להודעה רגילה שנשמרת. בעקבות אותה אסגרה קודמת, מטא ביצעה תיקון הדרגתי ושינתה את אופן המימוש, כך שהודעות חד פעמיות לא יישלחו כלל למכשירים שאינם אמורים להציג אותן, בעיקר וואטסאפ ווב.
אלא שכעת, לפי הדיווח, גם את התיקון הזה הצליח בארי לעקוף. מטעמים מובנים, פרטי השיטה החדשה לא פורסמו במלואם, כדי לא להקל על גורמים זדוניים לנצל אותה. עם זאת, בארי העריך כי מאחר שהמעקף אינו מורכב במיוחד, ייתכן שאנשים נוספים כבר מצאו אותו ועושים בו שימוש. לדבריו, המשמעות המעשית היא ביטול תחושת הפרטיות שמשתמשים מייחסים להודעות חד פעמיות, משום שהתוכן עלול להישמר ולהישאר זמין לעד.
לטענת בארי, הפעם מטא לא גילתה נכונות ממשית לשתף פעולה. לדבריו, בתגובה שקיבל מהחברה נמסר כי היא אינה מטפלת במקרים הכוללים לקוח שעבר שינוי. עוד נכתב כי מבחינת מטא, פיצ'ר הצפייה החד פעמית מוגדר כמאמץ חלקי, כלומר כזה שלא מבטיח באופן מוחלט צפייה אחת בלבד, ותמיד עשויות להיות דרכים לצפות בתוכן או להאזין לו יותר מפעם אחת. התגובה הזו מעוררת סימני שאלה, משום שהשם של הפיצ'ר יוצר אצל משתמשים רבים רושם ברור של הגנה חד משמעית.
בארי טוען כי יש כאן בעיה מהותית כלפי ציבור המשתמשים, ובעיקר כלפי מי שאינם טכנולוגיים, משום שהם מסתמכים על שם הפיצ'ר ועל ההבטחה המשתמעת ממנו. לדבריו, אם מטא סבורה שלא מדובר בבעיה, לא ברור מדוע בעבר היא כן הכירה בחולשה דומה ואף העניקה תשלום במסגרת תוכנית הבאונטי שלה. מטא, לפי הדיווח, סירבה להגיב לפניית גיקטיים בנושא.
