據(jù)BleepingComputer消息，全球擁有20億用戶的即時(shí)通訊工具 WhatsApp最近修復(fù)了一個(gè)十分重要的隱私漏洞，該漏洞能允許攻擊者多次查看用戶發(fā)送的“閱后即焚”（View once）內(nèi)容。

WhatsApp的“閱后即焚”于3年前推出，允許用戶發(fā)送只能瀏覽一次的照片、視頻和語(yǔ)音消息，且接收者無(wú)法轉(zhuǎn)發(fā)、分享、復(fù)制或截取消息。

但這其中有一個(gè)Bug，Zengo X 研究團(tuán)隊(duì)發(fā)現(xiàn)，“閱后即焚” 功能可用于向收件人的所有設(shè)備發(fā)送加密媒體消息，包括桌面端，即使這些消息在桌面端無(wú)法顯示。 這些消息與普通消息幾乎完全相同，但包含一個(gè)指向 WhatsApp 網(wǎng)絡(luò)服務(wù)器（"blob store"）托管的加密數(shù)據(jù) URL 以及解密密鑰。

研究人員稱，這些消息在下載后不會(huì)立即從 WhatsApp 的服務(wù)器中刪除，且某些版本的“閱后即焚 ”消息還包含無(wú)需下載即可查看的低質(zhì)量預(yù)覽。

此外，“閱后即焚 ”消息與常規(guī)消息類似，但帶有一個(gè)“View once”值為“true”的標(biāo)記，攻擊者僅需將“true“改為” false“，就可繞過(guò)此隱私功能 ，下載、轉(zhuǎn)發(fā)和共享這些“閱后即焚 ”消息。

Zengo X 據(jù)稱是第一個(gè)向 WhatsApp母公司Meta 詳細(xì)報(bào)告這一漏洞的組織，但在此之前該漏洞可能至少 已經(jīng)暴露了1年。BleepingComputer甚至已觀察到兩款谷歌瀏覽器插件（其中一個(gè)已于 2023 年發(fā)布）能夠便捷地實(shí)現(xiàn)反復(fù)查看并共享“閱后即焚 ”消息。

目前Meta已表示對(duì)漏洞進(jìn)行了修復(fù)，但這背后所反映出的更深層次問(wèn)題也引發(fā)了人們的憂慮，即這些科技巨頭所謂的為用戶著想的隱私措施可能僅僅是個(gè)”空殼“，其本質(zhì)上仍然漏洞百出。