متابعة / بلال شكلال
كشف باحثون من فريق Zengo X أن رسائل “عرض مرة واحدة” على تطبيق واتساب قد لا تكون آمنة كما يُعتقد، حيث يمكن الوصول إليها مرات عديدة، وتخزينها لمدة تصل إلى أسبوعين، وأحياناً يمكن حتى للأشخاص غير المستهدفين الاطلاع عليها.
تحذيرات من ضعف حماية رسائل “عرض مرة واحدة” في واتساب
يدّعي واتساب أن هذه الرسائل تُستخدم لإرسال الصور والفيديوهات والرسائل الصوتية التي تختفي بعد فتحها مرة واحدة فقط. ومع ذلك، أوضح الباحثون أن هذه الميزة ليست محمية بشكل كامل ويمكن التحايل عليها بسهولة. فهناك أدوات وإضافات متاحة على الإنترنت تُتيح للمستخدمين عرض الرسائل المتاحة للاطلاع عليها مرة واحدة بشكل متكرر.
آلية العمل ونقاط الضعف
عندما يقوم المستخدم بإرسال رسالة “عرض مرة واحدة”، تنتقل الرسالة إلى خوادم واتساب بدلاً من جهاز المستلم مباشرة. لا توجد حماية فعالة لمنع استغلال خوادم واتساب من أجل كشف هذه الرسائل. الخادم يقوم بإرسال الرسالة إلى كافة الأجهزة المتصلة للمستلم، حتى الأجهزة غير المصرح لها بعرض الرسالة.
وأشار التقرير إلى أن الرسائل التي يتم إرسالها على أنها “عرض مرة واحدة” تُعامل تقنيًا كرسائل وسائط عادية مع علامة بسيطة تُشير إلى “عرض مرة واحدة”، وهو ما يمكن التلاعب به. باستخدام تطبيقات معينة أو عبر المتصفح، يمكن تغيير العلامة وتحويل الرسالة إلى رسالة عادية بدون الحاجة إلى تعديل النظام أو إجراء قرصنة معقدة.
ثغرات في التخزين والحماية
كشف الباحثون أيضًا أن الرسائل المشفرة التي يتم إرسالها من واتساب يمكن الوصول إليها من خلال الرابط المشفر الذي يتضمن مفتاح التشفير. إذا تم كشف عنوان URL الخاص بالرسالة، يمكن لأي جهاز تنزيل الوسائط المشفرة من خادم واتساب بدون الحاجة إلى عملية توثيق. كما يمكن عرض معاينة بجودة منخفضة لبعض الرسائل بدون حتى الحاجة إلى تنزيل الملف الكامل.
تظل هذه الرسائل مخزنة على خوادم واتساب لمدة أسبوعين، ما يزيد من مخاطر استغلالها. يقول الباحثون إن من المتوقع أن يقوم الخادم بحذف الرسالة فور تنزيلها، إلا أن هذا لا يحدث.
التوصيات والإجراءات
لإصلاح هذه المشكلة، اقترح التقرير أن يقوم واتساب بتطبيق نظام إدارة الحقوق الرقمية (DRM) بشكل صحيح، بما في ذلك التحقق من دعم الأجهزة لهذه التقنية. أنظمة التشغيل الحديثة مثل أندرويد وiOS توفر هذه الأطر الأمنية.
وقد صرّح متحدث باسم واتساب لموقع RestorePrivacy بأن تحديثات للميزة قادمة، ونصح المستخدمين بإرسال الرسائل الحساسة فقط إلى الأشخاص الذين يثقون بهم.
