WhatsApp“阅后即焚”功能曝漏洞,黑客可反复查看
💡
原文中文,约900字,阅读约需2分钟。
📝
内容提要
WhatsApp修复了一个允许攻击者查看用户发送的“阅后即焚”内容的重要隐私漏洞。研究人员发现,消息可在收件人的所有设备上发送,攻击者可以绕过隐私功能下载、转发和共享这些消息。Meta已修复漏洞,但引发了对科技巨头隐私措施的担忧。
🎯
关键要点
-
WhatsApp修复了一个重要的隐私漏洞,允许攻击者查看用户的‘阅后即焚’内容。
-
‘阅后即焚’功能允许用户发送只能浏览一次的消息,但存在Bug,攻击者可以绕过隐私功能。
-
研究团队发现,‘阅后即焚’消息可以发送到收件人的所有设备,包括桌面端。
-
这些消息包含指向WhatsApp服务器的加密数据URL和解密密钥,下载后不会立即从服务器中删除。
-
攻击者可以通过修改消息标记,将‘View once’值从‘true’改为‘false’,从而下载、转发和共享这些消息。
-
Zengo X是第一个向Meta报告该漏洞的组织,漏洞可能已暴露至少一年。
-
Meta已修复漏洞,但引发了对科技巨头隐私措施有效性的担忧。
❓
延伸问答
WhatsApp的‘阅后即焚’功能是什么?
‘阅后即焚’功能允许用户发送只能浏览一次的照片、视频和语音消息,接收者无法转发、分享、复制或截取这些消息。
WhatsApp的隐私漏洞是如何被发现的?
Zengo X研究团队发现了该漏洞,并报告给WhatsApp母公司Meta。
攻击者是如何绕过‘阅后即焚’功能的?
攻击者可以通过修改消息标记,将‘View once’值从‘true’改为‘false’,从而下载、转发和共享这些消息。
WhatsApp修复了这个漏洞后有什么影响?
虽然Meta已修复漏洞,但这引发了人们对科技巨头隐私措施有效性的担忧。
这个隐私漏洞存在了多久?
该漏洞可能至少已经暴露了一年。
WhatsApp的‘阅后即焚’消息与普通消息有什么区别?
‘阅后即焚’消息带有一个‘View once’值为‘true’的标记,并包含指向WhatsApp服务器的加密数据URL和解密密钥。
➡️
