Ещё одна дыра в безопасности WhatsApp

В WhatsApp можно восстанавливать сообщения, удаленные собеседником из общего чата

В WhatsApp можно восстанавливать сообщения, удаленные собеседником из общего чата. Для этого нужно использовать стороннее ПО WAMR, пользующееся бешеной популярностью. Facebook пока не может закрыть эту уязвимость.

В мессенджере WhatsApp найдена новая уязвимость. Он позволяет просматривать удаленные собеседником сообщения без его на то разрешения, пишет New York Post. По информации издания, можно получать доступ не только к обычному текстовому сообщению, уже удаленному из чата, но также к фотографиям, видеороликам и другому контенту. Удалять нежелательные сообщения в WhatsApp бесполезно. Теперь их можно восстанавливать.

Эту лазейку компания Meta (в прошлом Facebook, владелец WhatsApp), закрыть не в состоянии. Читать удаленные сообщения, даже если отправитель удалил их, позволяет стороннее приложение WAMR.

whattsapp-1

На момент публикации материала WAMR существовало только в версии под Android, но это вовсе не означает, что владельцы iPhone защищены от него. Приложение отслеживает все удаленные сообщения в чатах WhatsApp, вне зависимости от того, с какой платформы они были отправлены.

Android-пользователи распробовали WAMR. Судя по среднему баллу 4,5 из 5 возможных (на основе почти 730 тыс. отзывов), те, кто скачал данное ПО, довольны предоставляемыми им возможностями. Притом приложение даже не успело преодолеть стадию бета-тестирования – на 31 января 2022 г. оно было доступно в версии 0.11.1, опубликованной в начале июня 2021 г.

Как все работает

WAMR распространяется на бесплатной основе, и лишь активация некоторых функций требует оплаты. С самими сообщениями в WhatsApp утилита никак не взаимодействует, но сканирует все имеющиеся активные чаты.

После этого WAMR начинает следить за уведомлениями, поступающими от WhatsApp. Если приложение заметит, что собеседник удалил сообщение, оно предложит посмотреть его содержимое.

Другими словами, отправлять в WhatsApp сообщения с чувствительной информацией и спешно удалять их в надежде, что получатель не успеет их прочесть, больше нельзя. Также WAMR исключает возможность удаления сообщения, отправленного случайно или не тому пользователю.

Даже если это будет голосовое сообщение, WAMR сможет его сохранить, даже если из чата оно пропадет. То же касается и документов.

Смена мессенджера – не панацея

Как пишет New York Post, пользователи, не желающие, чтобы их удаленные сообщения сохранялись при помощи WAMR, могут даже не пытаться сменить мессенджер. Столь радикальное решение к желаемому результату не приведет.

Издание утверждает, что WAMR способно “архивировать” удаленные сообщения и в других мессенджерах. В качестве примера приведен Facebook Messenger. А заодно WAMR сразу определило наличие на устройстве Telegram в дополнение к WhatsApp.

whattsapp-2

Умеет ли WAMR работать с более защищенными мессенджерами, к примеру, Signal или Telegram, разработчики не уточняют.

Однако в описании к приложению вообще не упоминается ни один из существующих сервисов мгновенного общения, что может указывать на универсальность этого инструмента. К тому же редакция CNews убедилась, что при первом запуске WAMR определяет все установленные на смартфоне мессенджеры.

Сверхопасное приложение

WAMR несет в себе потенциальную угрозу конфиденциальности не только для пользователей мессенджеров, привыкших удалять свои сообщения из чатов. Те, кто установил данное ПО на свое устройство, рискуют еще сильнее.

Для работы приложению требуется слишком много разрешений. Помимо доступа к уведомлениям, оно зачем-то «хочет» читать SMS-сообщения. Кроме того, оно запрашивает доступ к файловому хранилищу, а также к списку контактов и журналу звонков.

В дополнение к этому WAMR требует, чтобы ему разрешили автозапуск. Кроме того, автономно это приложение работать не умеет – ему зачем-то нужен неограниченный выход в интернет, а также доступ к списку сетей Wi-Fi.

Разработчики не уточняют, для чего все это программе, которая просто отслеживает уведомления в приложениях для общения. Эксперты New York Post предупреждают, что данная утилита может использоваться для кражи данных из других приложений, установленных на устройстве.

Эльяс Касми

Лицензия Creative Commons