Falha do WhatsApp permite ver conteúdos únicos mais do que uma vez
Uma das funcionalidades do WhatsApp encontra-se na capacidade de permitir o envio de conteúdos que apenas podem ser vistos uma vez, como fotos e vídeos. Depois de vistos, os conteúdos deixam de poder voltar a ser acedidos diretamente… ou assim se esperava.
Esta funcionalidade é focada em privacidade e envio de conteúdos potencialmente sensíveis, e embora não impeça que os utilizadores da outra parte possam gravar o ecrã e ver o conteúdo noutros dispositivos, ainda assim é uma camada adicional de proteção.
Porém, foi recentemente descoberta uma falha que poderia permitir que conteúdos de visualização única pudessem ser abertos várias vezes. A falha estaria associada com a API do WhatsApp, algo que a Meta corrigiu.
Embora a API fosse focada para dispositivos onde os conteúdos fossem vistos apenas uma vez, que neste caso seria em dispositivos móveis, esta não obrigava inteiramente a que fosse usado um dispositivo móvel para tal. Portanto, um utilizador em PC via a interface web do WhatsApp poderia fazer pedidos à API para ver várias vezes o conteúdo.
Dentro da API, os conteúdos partilhados para serem vistos apenas uma vez estavam marcados com uma tag para tal. Porém, modificando o pedido, era possível carregar o conteúdo as vezes que fossem necessárias.
Os investigadores responsáveis pela descoberta da falha indicam que esta terá sido devido à falta de atenção da Meta, que desenhou um sistema pensado para privacidade, mas que na realidade não fornece tal medida. Os investigadores vão mais longe, ao apelidar o sistema como mal construído.
A piorar a situação, a falha parecia já ser conhecida, sendo que os investigadores descobriram casos de aplicações para Android modificadas que são capazes de ver as imagens enviadas de forma única mais do que uma vez, e que exploravam exatamente essa falha. Até mesmo extensões para o Chrome foram criadas para tal – com as mesmas a serem livremente distribuídas pela internet.
Os investigadores terão notificado a Meta sobre a falha, através do seu programa de recompensas, sendo que a empresa teria confirmado que se encontra a investigar a situação. A falha deverá ser corrigida durante os próximos dias, sendo que terá de ser aplicada uma correção do lado dos servidores da Meta – os utilizadores apenas necessitam de manter os seus clientes atualizados.