WhatsApp“阅后即焚”功能曝漏洞，黑客可反复查看

据BleepingComputer消息 ，阅后即焚全球拥有20亿用户的曝漏即时通讯工具 WhatsApp最近修复了一个十分重要的隐私漏洞 ，该漏洞能允许攻击者多次查看用户发送的洞黑“阅后即焚”（View once）内容。

WhatsApp的反复“阅后即焚”于3年前推出 ，允许用户发送只能浏览一次的免费模板阅后即焚照片、视频和语音消息
，曝漏且接收者无法转发、洞黑分享
、反复复制或截取消息。阅后即焚

但这其中有一个Bug ，曝漏Zengo X 研究团队发现，洞黑“阅后即焚” 功能可用于向收件人的源码下载反复所有设备发送加密媒体消息，包括桌面端，阅后即焚即使这些消息在桌面端无法显示 。曝漏 这些消息与普通消息几乎完全相同，洞黑但包含一个指向 WhatsApp 网络服务器（"blob store"）托管的加密数据 URL 以及解密密钥。

研究人员称，这些消息在下载后不会立即从 WhatsApp 的源码库服务器中删除，且某些版本的“阅后即焚 ”消息还包含无需下载即可查看的低质量预览。

此外，“阅后即焚 ”消息与常规消息类似，但带有一个“View once”值为“true”的标记，服务器租用攻击者仅需将“true“改为” false“，就可绕过此隐私功能 ，下载  、转发和共享这些“阅后即焚 ”消息。

Zengo X 据称是第一个向 WhatsApp母公司Meta 详细报告这一漏洞的组织，但在此之前该漏洞可能至少 已经暴露了1年 。建站模板BleepingComputer甚至已观察到两款谷歌浏览器插件（其中一个已于 2023 年发布）能够便捷地实现反复查看并共享“阅后即焚 ”消息 。

目前Meta已表示对漏洞进行了修复
，但这背后所反映出的更深层次问题也引发了人们的忧虑
，即这些科技巨头所谓的为用户着想的隐私措施可能仅仅是香港云服务器个”空壳“，其本质上仍然漏洞百出 。

很赞哦!（75）