WhatsApp ha risolto un bug che permetteva di aggirare la funzionalità "Visualizza una volta", introdotta nel 2021 per inviare messaggi, foto e video che si autodistruggono dopo la prima visualizzazione. La vulnerabilità, scoperta lo scorso agosto, consentiva agli utenti dell'app desktop di salvare i messaggi effimeri, vanificando la protezione della privacy.
L'azienda ha confermato a TechCrunch di aver "implementato una soluzione a lungo termine che ha risolto il problema". Tuttavia, la correzione non è perfetta in quanto aumenta la quantità di metadati non crittografati, potenzialmente introducendo nuovi rischi per la privacy degli utenti.
Zade Alsawah, portavoce di WhatsApp, ha dichiarato: "Stiamo costantemente costruendo livelli di protezione della privacy, incluso il rilascio di aggiornamenti chiave per la funzione 'Visualizza una volta' sul web". Alsawah raccomanda a tutti di aggiornare l'app di messaggistica crittografata all'ultima versione e di inviare messaggi effimeri solo a persone fidate.
Tal Be'ery, il ricercatore di sicurezza che per primo ha segnalato i problemi, ha accolto positivamente l'aggiornamento di WhatsApp in un post su X: "La correzione affronta effettivamente la causa principale in modo appropriato, quindi siamo felici di aver contribuito a rendere il mondo un po' più sicuro!"
Tuttavia, Be'ery spiega che la soluzione aggiunge un flag "Visualizza una volta" ai metadati non crittografati dei messaggi, aumentando di fatto la quantità di metadati esposti al server WhatsApp. Ciò potrebbe aprire la porta ad altri potenziali rischi per la privacy.
1/ @WhatsApp has silently fixed the View Once issue we reported a few months ago.
— Tal Be'ery (@TalBeerySec) December 9, 2024
The fix indeed addresses the root cause properly, so we are happy we were able to make the world a little safer!
The fix itself is technically interesting...🧵👇 https://t.co/a4dhgl8o96
"La correzione evidenzia il fatto noto, ma spesso trascurato, che la crittografia end-to-end protegge il contenuto dei messaggi ma non i loro metadati", ha scritto Be'ery. "WhatsApp ha fatto un compromesso tra l'aumento della privacy dell'utente contro l'accesso non autorizzato ai contenuti 'Visualizza una volta' da parte del destinatario, e la riduzione della privacy per l'accesso non autorizzato ai metadati 'Visualizza una volta' sul server WhatsApp."
La raccolta di metadati potrebbe rappresentare un problema per la privacy degli utenti di WhatsApp, soprattutto considerando il progressivo perfezionamento delle tecniche di sorveglianza. Nonostante ciò, Be'ery conclude: "Anche se questa correzione non è perfetta, la consideriamo comunque un grande miglioramento rispetto al punto di partenza originale".