Un bug permette di visualizzare anche su web e desktop foto e video effimeri di WhatsApp che dovrebbero essere mostrati solo su Android e iOS.
Da quando WhatsApp ha introdotto la funzionalità “Visualizza una volta” nell’agosto 2021, milioni di utenti hanno potuto inviare foto e video effimeri, ovvero contenuti che, una volta visualizzati, scompaiono per sempre dal dispositivo del destinatario. La funzione è stata pensata come una misura di sicurezza e privacy, per permettere la condivisione di contenuti delicati senza che questi possano essere salvati o condivisi ulteriormente.
Tuttavia, recentemente è stato scoperto un bug che compromette questa funzionalità, permettendo a utenti su WhatsApp Web e sulle versioni desktop di visualizzare e persino scaricare contenuti che, in teoria, dovrebbero essere visibili solo una volta, e solo su Android e iOS.
Privacy non rispettata
Il ricercatore di sicurezza Tal Be’ery, di Zengo, ha individuato il bug a fine agosto 2023. La funzionalità Visualizza una volta, lanciata per la prima volta per foto e video, e successivamente estesa ai messaggi vocali a dicembre 2023, è stata progettata per eliminare automaticamente i contenuti dopo essere stati visualizzati. Ciò significa che, in teoria, non dovrebbe essere possibile né salvare, né inoltrare o copiare questi messaggi.
Tuttavia, Be’ery ha scoperto che, utilizzando versioni modificate di WhatsApp Web o client desktop non ufficiali, è possibile aggirare le restrizioni imposte dall’app. Questo bug apre le porte a una vulnerabilità che consente non solo la visualizzazione dei contenuti effimeri, ma anche il loro salvataggio direttamente sul computer, aggirando le limitazioni imposte dall’applicazione.
Come funziona il bug
I messaggi “Visualizza una volta” sono tecnicamente inviati a tutti i dispositivi collegati all’account del destinatario. Di conseguenza, il contenuto multimediale, sebbene progettato per essere visibile una sola volta, può essere intercettato su altri dispositivi che utilizzano versioni non ufficiali di WhatsApp o strumenti di terze parti. In particolare, è possibile cambiare il flag associato ai messaggi effimeri da “true” a “false” utilizzando un’app Android modificata o un’estensione del browser, che bypassa le restrizioni di WhatsApp e consente di scaricare foto e video.
Questo sistema sfrutta la mancanza di DRM (Digital Rights Management) all’interno del protocollo di WhatsApp per questi tipi di contenuti. In poche parole, WhatsApp non impedisce attivamente il salvataggio dei file multimediali tramite mezzi esterni, come estensioni o app non ufficiali, il che lascia spazio a vulnerabilità come quella scoperta da Be’ery.
Tabella comparativa: Funzionalità Visualizza una volta su piattaforme
| Piattaforma | Supporto Visualizza una volta | Rischio Bug |
|---|---|---|
| WhatsApp Android | Sì | Nessuno |
| WhatsApp iOS | Sì | Nessuno |
| WhatsApp Web | No (avviso) | Alto |
| WhatsApp Desktop | No (avviso) | Alto |
Le implicazioni del bug sulla sicurezza
Sebbene WhatsApp avverta già gli utenti del rischio che i contenuti possano essere registrati da altri dispositivi prima della loro scomparsa (ad esempio, utilizzando un altro telefono per fare una foto o un video dello schermo), questo bug rende il processo di cattura molto più semplice. Piuttosto che richiedere strumenti esterni o metodi manuali, gli utenti malintenzionati possono sfruttare la vulnerabilità per salvare direttamente le immagini o i video sul loro dispositivo desktop o web, violando così la privacy del mittente.
Le dichiarazioni di WhatsApp
In risposta alla scoperta del bug, WhatsApp ha emesso un comunicato in cui ribadisce il suo impegno nella protezione della privacy degli utenti e ha promesso di indagare sulla vulnerabilità. Tuttavia, l’azienda di Menlo Park ha anche ricordato che, anche senza il bug, non esistono garanzie assolute sulla sicurezza dei contenuti inviati tramite Visualizza una volta, poiché esistono sempre metodi alternativi, come la fotografia dello schermo.
Soluzioni e raccomandazioni
Fino a quando WhatsApp non introdurrà una soluzione tecnica definitiva, si consiglia agli utenti di evitare di inviare contenuti estremamente sensibili tramite la funzione Visualizza una volta. In particolare, è importante essere consapevoli del fatto che qualsiasi contenuto condiviso online potrebbe potenzialmente essere salvato o registrato, indipendentemente dalle precauzioni tecniche adottate.
Una possibile soluzione futura potrebbe essere l’implementazione di un DRM per proteggere i contenuti effimeri, impedendo loro di essere copiati o scaricati su piattaforme non supportate. Fino ad allora, tuttavia, si consiglia di trattare con cautela qualsiasi contenuto condiviso utilizzando la funzionalità Visualizza una volta.
Il bug scoperto in Visualizza una volta di WhatsApp rappresenta una vulnerabilità significativa per la privacy degli utenti, in particolare su piattaforme web e desktop. Fino a quando non verranno adottate misure di sicurezza più stringenti, gli utenti dovrebbero essere cauti nell’utilizzo di questa funzionalità per contenuti particolarmente sensibili o compromettenti.
WhatsApp rimane comunque una delle piattaforme di messaggistica più utilizzate al mondo, e l’azienda continua a lavorare su aggiornamenti e miglioramenti per garantire la sicurezza e la protezione delle comunicazioni private
