WhatsApp, die beliebteste Ende-zu-Ende-verschlüsselte Messaging-App der Welt mit mehr als zwei Milliarden Benutzern, ermöglicht es Benutzern, Bilder und Videos auszutauschen, die kurz nach dem Öffnen verschwinden.
Aber ein Fehler in der Art und Weise, wie WhatsApp seine sogenannte 'Einmal anzeigen'-Funktion in seiner browserbasierten Web-App implementiert, erlaubt es jedem bösartigen Empfänger, das Bild und Video anzuzeigen und zu speichern, das sofort nach dem Anzeigen verschwinden sollte.
Die 'Einmal anzeigen'-Funktion ist nur für die WhatsApp-Mobil-Apps auf Android und iOS vorgesehen. WhatsApp führte die Funktion im Jahr 2021 ein.
In typischen Situationen, wenn ein Benutzer ein 'Einmal anzeigen'-Bild oder -Video erhält, während er WhatsApp auf der Desktop-App oder der Web-App verwendet, wird der Benutzer eine Warnung sehen, dass das Bild oder Video nur mit WhatsApp auf seinem Telefon geöffnet werden kann.
Als zusätzlichen Datenschutz verhindert WhatsApp Benutzer daran, Screenshots oder Bildschirmaufnahmen von 'Einmal anzeigen'-Bildern und -Videos in seinen Android- und iOS-Apps zu machen.
Tal Be'ery, ein Sicherheitsforscher, der seit mehreren Monaten WhatsApp-Datenschutzprobleme erforscht hat, entdeckte kürzlich den Bug. Be'ery veröffentlichte am Montag einen Blogbeitrag, in dem er seine Ergebnisse detailliert beschrieb.
Be'ery zeigte TechCrunch letzte Woche eine Live-Demo des Fehlers, bei der er zeigen konnte, dass er ein von TechCrunch als 'Einmal anzeigen' gesendetes Bild erfassen und speichern konnte, während er WhatsApp im Web verwendete.
'Das Einzige, was schlimmer ist als keine Privatsphäre, ist ein falsches Gefühl von Privatsphäre, bei dem Benutzer glauben sollen, dass einige Formen der Kommunikation privat sind, wenn sie es tatsächlich nicht sind', sagte Be'ery, der CTO und Mitbegründer der Krypto-Wallet Zengo, in seinem Blogbeitrag. 'Aktuell ist WhatsApps 'Einmal anzeigen' eine grobe Form der falschen Privatsphäre und sollte entweder gründlich repariert oder aufgegeben werden', schrieb Be'ery.
Kontaktieren Sie uns
Haben Sie weitere Informationen zu Fehlern in WhatsApp oder anderen Messaging-Apps? Sie können sich von einem Nicht-Arbeitsgerät aus sicher an Lorenzo Franceschi-Bicchierai über Signal unter +1 917 257 1382, oder über Telegram und Keybase @lorenzofb oder per E-Mail kontaktieren. Sie können sich auch über SecureDrop an TechCrunch wenden.Be'ery meldete den Bug am 26. August über die offizielle Bug-Bounty-Plattform von Meta, dem Mutterunternehmen von WhatsApp.
In Antwort auf die Anfrage von TechCrunch letzte Woche und Tage nachdem Be'ery seinen Fehlerbericht eingereicht hatte, sandte Zade Alsawah, der WhatsApp-Sprecher, eine Erklärung: 'Wir sind bereits dabei, Updates für die einmalige Anzeige im Web auszurollen. Wir ermutigen Benutzer weiterhin, nur einmalig Nachrichten an Personen zu senden, die sie kennen und denen sie vertrauen.'
Be'ery ist nicht die erste Person, die diesen Fehler entdeckt hat. Be'ery und TechCrunch sahen Beiträge, die mehrere Browsererweiterungen bewerben, die es leicht ermöglichen, die 'Einmal anzeigen'-Funktion bei der Verwendung der WhatsApp-Web-App zu umgehen. TechCrunch hat auch aktive Diskussionen darüber gesehen, wie die Funktion umgangen werden kann, in den sozialen Medien. TechCrunch verlinkt nicht zu den Beiträgen, um bösartigen Akteuren nicht zu helfen, den Fehler auszunutzen.
WhatsApp hat keinen Zeitplan dafür bekannt gegeben, wann es seine Updates für 'Einmal anzeigen' abschließen wird.
