كشف باحثون أمنيون عن ثغرة خطيرة في إحدى أبرز ميزات تطبيق واتساب، وهي ميزة «العرض مرة واحدة»، حيث تسمح للمهاجمين، بالالتفاف على هذه الميزة بطريقة تتيح لهم رؤية الصور والفيديوهات والرسائل التي تم إرسالها.
يمكن عرضها مرة واحدة فقط، ما يعرض خصوصية المستخدمين للخطر، ويمكن للمتسللين حفظ هذه المحتويات ومشاركتها دون علم المرسل.
إطلاق ميزة «العرض مرة واحدة»
تم إطلاق ميزة «العرض مرة واحدة» في واتساب عام 2022، وهي ميزة تتيح للمستخدمين إرسال الصور ومقاطع الفيديو والرسائل الصوتية التي يمكن عرضها مرة واحدة فقط.
وبمجرد أن يفتح المستقبل هذه الوسائط، فإنها تختفي ولا يمكن إعادة فتحها أو حفظها أو مشاركتها بأي شكل من الأشكال، حتى من خلال التقاط لقطة شاشة أو تسجيل الشاشة.
وفقا لما أعلنته شركة واتساب، فإن الوسائط المرئية والصوتية التي يتم إرسالها باستخدام ميزة «العرض مرة واحدة»، تختفي تلقائيا من المحادثة، بمجرد أن يفتحها المستقبل للمرة الأولى، وهذه الوسائط مصممة للاستخدام الفردي، ولا يمكن حفظها أو مراجعتها لاحقا.
وبمجرد استخدام الميزة لإرسال صورة أو فيديو أو رسالة صوتية، فإن كلا من المرسل والمستقبل لن يكونا قادرين على رؤية هذا المحتوى مرة أخرى، ولن يتم حفظ هذه الوسائط في معرض صور هاتف المستقبل، كما أن واتساب يمنع بشكل صريح التقاط لقطات شاشة لهذه المحتويات.
تهديد خطير لخصوصية مستخدمي واتساب
في اكتشاف مثير للقلق، كشفت إحدى شركات الأمن السيبراني عن ثغرة خطيرة في نسخة واتساب للويب، وهذه الثغرة تسمح للمستخدمين بتجاوز ميزة «العرض مرة واحدة» وحفظ الوسائط التي من المفترض أن تختفي بعد العرض الأول.
وهذا الاختراق يمثل تهديدا كبيرا لخصوصية المستخدمين، حيث يمكن للمتسللين استغلال هذه الثغرة للحصول على معلومات حساسة.
تكمن المشكلة الأمنية التي اكتشفها فريق أبحاث Zengo في الطريقة التي يتعامل بها تطبيق واتساب مع ميزة «العرض مرة واحدة»، فعندما يرسل المستخدم ملفا وسائطيا (صورة أو فيديو) باستخدام هذه الميزة، فإن واتساب يضيف ببساطة علامة خاصة إلى هذا الملف، تشير إلى أنه يجب أن يختفي بعد المشاهدة الأولى.
وأظهرت أبحاث فريق Zengo، أن تطبيق واتساب للويب لا يطبق قيودا كافية لحماية هذه الوسائط المحددة بعلامة «العرض مرة واحدة»، وهذا يعني أن المتسللين الذين يتمكنون من الوصول إلى حساب واتساب مستخدم ما، يمكنهم بسهولة تجاهل هذه العلامة وحفظ هذه الوسائط ومشاركتها مع الآخرين.
إلغاء تفعيل ميزة «العرض مرة واحدة»
يشرح فريق Zengo أن المتسللين يمكنهم، بعد أن يحصلوا على السيطرة على حساب واتساب، إلغاء تفعيل ميزة «العرض مرة واحدة» لرسالة معينة، وبمجرد القيام بذلك، يمكنهم تنزيل هذه الرسالة وحفظها وإعادة توجيهها إلى أي شخص آخر، مما يتيح لهم تجاهل الغرض الأصلي من إرسال هذه الرسالة بشكل سري.
عندما نرسل رسالة «تختفي» في واتساب، فإن ما يتم إرساله في الواقع هو رابط (URL) يشير إلى موقع الملف على خوادم واتساب، بالإضافة إلى مفتاح خاص لفك تشفير هذا الملف.
ودور علامة «العرض مرة واحدة» هنا هو إخبار تطبيق واتساب على الهاتف المحمول بمعاملة هذا الملف بشكل خاص، بحيث يختفي بعد مشاهدته لأول مرة، والمشكلة أن تطبيق واتساب للويب لا يطبق هذه القيود بنفس الشدة.
بما أن تطبيق الويب لا يفرض نفس القيود التي يفرضها تطبيق الهاتف المحمول، فإنه من السهل نسبيا على أي شخص لديه القدرة على الوصول إلى هذا الرابط ومفتاح التشفير أن يحصل على نسخة من الملف ويحفظها.
الوصول إلى محادثات واتساب على الويب
هذا يعني أن أي شخص يمكنه، بطريقة ما، الوصول إلى محادثات واتساب الخاصة بك على الويب، يمكنه حفظ الرسائل التي كنت تعتقد أنها ستختفي للأبد.
القدرة على تجاوز ميزة «العرض مرة واحدة» تمثل تهديدا كبيرا لخصوصية المستخدمين، فالكثير من الناس يستخدمون هذه الميزة لمشاركة معلومات حساسة للغاية، مثل كلمات المرور المؤقتة، أو المستندات السرية، أو الصور الشخصية.
وإذا كان بإمكان أي شخص حفظ هذه المعلومات، فإن ذلك يعرض هؤلاء المستخدمين لخطر كبير، مثل الابتزاز أو سرقة الهوية أو حتى التشهير.
بعد اكتشاف هذه الثغرة الخطيرة، اتصل فريق البحث بـ«ميتا»، الشركة المالكة لتطبيق واتساب، لإبلاغهم بهذه المشكلة، وعقب التحقيق، اعترفت الشركة بوجود هذه الثغرة الأمنية في تطبيق واتساب للويب، مؤكدة أنها تعمل حاليا على إصلاح هذه المشكلة، وإطلاق تحديثات جديدة لحماية خصوصية المستخدمين.
ولم توضح الشركة حتى الآن، ما إذا كانت ستبلغ المستخدمين الذين ربما تكون بياناتهم تعرضت للخطر بسبب هذه الثغرة، والأكثر إثارة للقلق، هو أن الشركة لم توضح حتى الآن ما إذا كانت هذه الثغرة موجودة أيضا في تطبيقات واتساب على هواتف أندرويد وiOS، مما يثير تساؤلات حول مدى انتشار هذه المشكلة.