近日，安全研究人员发现了一个隐私漏洞，允许用户绕过WhatsApp的“阅后即焚”功能，从而重新查看消息。WhatsApp的“阅后即焚”功能允许用户发送只能被接收者查看一次的照片、视频和语音消息。接收者无法转发、分享或复制这些“阅后即焚”的媒体，也无法对其进行截图或屏幕录制。

然而，该功能在其基于浏览器的网页应用中存在一个漏洞，允许接收者重新查看消息并保存图片和视频，而这些内容本应在显示后立即消失。流行的即时通讯应用还阻止用户进行截图。

“阅后即焚”功能仅在移动设备上可用，而网页应用不支持该功能，该功能于2021年首次推出。Zengo X研究团队的Tal Be’ery研究人员发现了这一漏洞，并于本周发布了该问题的技术细节。

研究人员在发现该漏洞已被野外利用后，负责任地向Meta披露了他们的发现，并决定公开披露该问题。他们旨在保护WhatsApp用户的隐私，并提供了更详细的博客版本。

“阅后即焚的媒体消息在技术上与常规媒体消息相同，只是设置了‘阅后即焚’标志。这意味着它相当于在图片上贴了一个‘不要看’的标签。攻击者只需将此标志设置为false，‘阅后即焚’的媒体立即变为‘常规’媒体，可以下载、转发和分享。”Tal Be’ery发布的帖子中写道。

“鉴于其媒体URL，任何客户端都可以下载阅后即焚的媒体，无需身份验证（读者仍需要与消息一起发送的解密密钥）。这再次使得限制媒体在受控环境和平台上的曝光变得不可能。”

研究人员使用Baileys构建了一个非官方的WhatsApp客户端应用，Baileys是一个开源的WhatsApp Web API实现，以演示如何绕过“阅后即焚”功能。他们向Meta报告了他们的发现，但后来发现其他人早在今年年初就已经发现了并利用了这个问题。这些恶意用户通过修改WhatsApp Android应用或网页扩展，将消息标志从“阅后即焚”改为“false”。

“要真正解决这个问题，WhatsApp需要应用适当的数字版权管理（DRM）解决方案，并验证是否存在硬件支持。Android和iOS等现代操作系统提供了这样的框架。”专家建议道。

“一个不太稳健但更容易的解决方案是让发送者只将‘阅后即焚’消息发送到主要设备（移动设备），而不是链接的辅助设备（网页、桌面）。请注意，这只能防止扩展，对已修补的移动客户端无效。”

WhatsApp尚未透露何时计划解决这一问题。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)