據BleepingComputer消息，全球擁有20億用戶的即時通訊工具 WhatsApp最近修復了一個十分重要的隱私漏洞，該漏洞能允許攻擊者多次查看用戶發(fā)送的“閱后即焚”（View once）內容。

WhatsApp的“閱后即焚”于3年前推出，允許用戶發(fā)送只能瀏覽一次的照片、視頻和語音消息，且接收者無法轉發(fā)、分享、復制或截取消息。

但這其中有一個Bug，Zengo X 研究團隊發(fā)現(xiàn)，“閱后即焚” 功能可用于向收件人的所有設備發(fā)送加密媒體消息，包括桌面端，即使這些消息在桌面端無法顯示。 這些消息與普通消息幾乎完全相同，但包含一個指向 WhatsApp 網絡服務器（"blob store"）托管的加密數(shù)據 URL 以及解密密鑰。

研究人員稱，這些消息在下載后不會立即從 WhatsApp 的服務器中刪除，且某些版本的“閱后即焚 ”消息還包含無需下載即可查看的低質量預覽。

此外，“閱后即焚 ”消息與常規(guī)消息類似，但帶有一個“View once”值為“true”的標記，攻擊者僅需將“true“改為” false“，就可繞過此隱私功能 ，下載、轉發(fā)和共享這些“閱后即焚 ”消息。

Zengo X 據稱是第一個向 WhatsApp母公司Meta 詳細報告這一漏洞的組織，但在此之前該漏洞可能至少 已經暴露了1年。BleepingComputer甚至已觀察到兩款谷歌瀏覽器插件（其中一個已于 2023 年發(fā)布）能夠便捷地實現(xiàn)反復查看并共享“閱后即焚 ”消息。

目前Meta已表示對漏洞進行了修復，但這背后所反映出的更深層次問題也引發(fā)了人們的憂慮，即這些科技巨頭所謂的為用戶著想的隱私措施可能僅僅是個”空殼“，其本質上仍然漏洞百出。