\nWhatsApp 是全球最受歡迎的端對端加密消息應用程式,擁有逾20億用戶,允許用戶交換在打開後不久消失的圖片和視頻。
\n然而,在 WhatsApp 在其基於瀏覽器的 Web 應用程式中實現「僅限查看一次」功能時存在漏洞,任何惡意接收者都可以顯示並保存這些應該在查看後立即消失的圖片和視頻。
\n\n「僅限查看一次」功能僅設計用於 WhatsApp 的 Android 和 iOS 手機應用程式上。WhatsApp 在 2021 年推出了這個功能。
\n在一般情況下,當用戶在桌面應用程式或 Web 應用程式上收到一張「僅限查看一次」圖片或視頻時,用戶會看到警告,指出這些圖片或視頻只能在他們的手機上使用 WhatsApp 才能打開。
\n\n![](\"https://techcrunch.com/wp-content/uploads/2024/09/WhatsApp-View-Once-Warning.png\")
作為額外的隱私保護措施,WhatsApp 阻止用戶在其 Android 和 iOS 應用程式中對「僅限查看一次」圖片和視頻進行截圖或螢幕錄製。
\n\n![](\"https://techcrunch.com/wp-content/uploads/2024/09/whatsapp-screenshot-blocked.png?w=314\")
安全研究人員 Tal Be’ery 最近發現了這個漏洞。Be’ery 於週一發表了一篇詳細介紹他的發現的博文。
\n\nBe’ery 上週向 TechCrunch 提供了漏洞的實時演示,當時他顯示在使用 WhatsApp Web 時能夠捕獲並保存 TechCrunch 發送的「僅限查看一次」圖片的副本。
\n\n「沒有隱私比錯誤的隱私更糟糕,用戶被帶領相信某些形式的通訊是私密的,而實際上並非如此,」在他的博文中,擔任加密錢包 Zengo 的 CTO 兼聯合創始人的 Be’ery 說。「目前,WhatsApp 的『僅限查看一次』是一種粗糙的虛假隱私,應該被徹底修正或放棄,」Be’ery 寫道。
\n
聯絡我們
\n 您對 WhatsApp 或其他消息應用程式中的漏洞有更多信息嗎?您可以從非工作設備上安全地通過 Signal 與 Lorenzo Franceschi-Bicchierai 聯繫,電話號碼為 +1 917 257 1382,或通過 Telegram 和 Keybase @lorenzofb,或發送電子郵件。您也可以通過 SecureDrop 與 TechCrunch 聯繫。Be’ery 於 8 月 26 日通過 WhatsApp 母公司 Meta 的官方漏洞懸賞平台報告了漏洞。
\n\n在上週向 TechCrunch 請求評論的回應中,以及在 Be’ery 提交漏洞報告幾天後,WhatsApp 發言人 Zade Alsawah 發送了一份聲明:「我們已經在製定更新 Web 上的查看一次。我們繼續鼓勵用戶僅將查看一次消息發送給他們認識和信任的人。」
\n\nBe’ery 不是第一個發現這個漏洞的人。Be’ery 和 TechCrunch 看到了多個推廣多個瀏覽器擴展程序的帖子,可以輕鬆繞過 WhatsApp Web 應用程式的「僅限查看一次」功能。TechCrunch 也在社交媒體上看到了有關如何繞過這個功能的討論。TechCrunch 不會將這些帖子鏈接,以免幫助惡意行為者利用這個漏洞。
\n\nWhatsApp 沒有提供完成查看一次更新的時間表。
