Спецпроекты

ПО Безопасность

WhatsApp все равно. Отозвать с чужого iPhone файлы из ошибочного сообщения не удастся

Когда пользователь iPhone удаляет отправленный через WhatsApp файл у всех участников беседы, этот файл все равно остается на их устройствах в папке Camera Roll. Неделю назад похожую проблему нашли в Telegram, и компания уже выпустила патч. WhatsApp же не собирается предпринимать какие-либо действия.

Проблема WhatsApp

Функция WhatsApp «Удалить у всех» не удаляет файлы, доставленные на iPhone получателя. Напомним, смысл функции в том, что отправитель может удалять отправленные (например, по ошибке) им сообщения и файлы у всех участников переписки. Однако исследователь безопасности Шитеш Сачан (Shitesh Sachan) обнаружил, что на iPhone якобы удаленные файлы все равно остаются. При этом сообщение об их пересылке исчезает из чата WhatsApp, а сам мессенджер информирует отправителя, что все благополучно удалено, пишет The Hacker News.

В iOS все медиа-файлы, поступившие на устройство через WhatsApp, сохраняются в папку Camera Roll. В Android они отправляются в аналогичную по своему назначению папку Android Media Gallery. Когда пользователь WhatsApp запускает функцию «Удалить у всех», из Media Gallery файлы удаляются без проблем, а вот в Camera Roll остаются. Папки для сохранения файлов заданы в настройках по умолчанию и их можно изменить, но, как правило, пользователи этого не делают.

Функция «Удалить у всех» чрезвычайно популярна среди пользователей, так как отправка неподходящего фото или видео не тому адресату — это распространенная среди пользователей ошибка. Появившаяся в октябре 2017 г. функция позволяет быстро ее исправить — удалить сообщение можно в течение 1 часа, 8 минут и 16 секунд после отправки. Но оказывается, получатель файла, хоть и не узнает о его получении через WhatsApp, может наткнуться на него, просматривая медиа-контент на своем устройстве.

Сачан сообщил компании о своем открытии, но там ответили, что не собираются предпринимать по этому поводу никаких действий. Компания поясняет, что функция «Удалить у всех» предназначена для удаления именно сообщений в чате и не гарантирует удаление привязанных к ним файлов. Напомним, с 2014 г. WhatsApp принадлежит компании Facebook.

Похожая проблема Telegram

Примечательно, что неделю назад исследователь безопасности Дхирадж Мишра (Dhiraj Mishra) обнаружил похожую проблему в Telegram. В отличие от ситуации с WhatsApp, наличие бага в Telegram было доказано в первую очередь для устройств под управлением Android, хотя исследователь полагает, что версии для iOS и настольных ПК тоже могут быть под угрозой.

whatsapp600.jpg
В WhatsApp стало больше незакрытых уязвимостей

В марте 2019 г. в Telegram появилась точно такая же функция, что и в WhatsApp — теперь отправитель может удалить отправленное им сообщение у всех участников переписки. Но в ходе исследования протокола MTProto Мишра выяснил, что удаленные таким образом файлы исчезают только из чата, по-прежнему оставаясь в папке /Telegram/Telegram Images. Если неподходящий файл был ошибочно отправлен в большую группу, насчитывающую тысячи пользователей, то он останется на каждом устройстве, куда был доставлен.

В отличие от WhatsApp, Telegram отнесся к проблеме серьезно — исследователю было выплачено вознаграждение в размере 2,5 тыс. евро, а баг устранили в версии 5.11 для Android и iOS.

Другие незакрытые уязвимости WhatsApp

Это не первый случай, когда WhatsApp не спешит разобраться с проблемами, о которых компанию поставили в известность сторонние исследователи. В августе 2019 г. CNews писал, что в WhatsApp найдено несколько уязвимостей, которые позволяют хакеру менять на свое усмотрение отправителя и текст сообщений других пользователей. Об этом сообщил израильский разработчик защитного ПО Check Point.

Исследователи предупреждают, что таким образом злоумышленники могут распространять среди пользователей WhatsApp ложную информацию, при этом получатели будут думать, что она пришла из доверенного источника.

В общей сложности речь идет о трех уязвимостях. Компания уже ликвидировала одну из них — ту, которая позволяет хакерам отправлять приватные сообщения участникам различных групп, выдавая их за публичные сообщения. Однако есть еще две уязвимости, и они остаются незакрытыми, сообщает Check Point, хотя Facebook была поставлена в известность около года назад — в августе 2018 г.

Одна из уязвимостей использует опцию цитирования в групповых беседах, чтобы изменить отправителя сообщения — за отправителя можно выдать другого участника группы, или даже создать несуществующего участника. Еще одна позволяет злоумышленнику в ответ на сообщение пользователя процитировать какое-либо другое сообщение, изменив при этом его текст.

У WhatsApp насчитывается более 1,5 млрд пользователей в 180 странах мира. Средний пользователь заходит в мессенджер примерно 23 раза в день.

Валерия Шмырова

Короткая ссылка