قد يشعر مستخدمو "واتساب"، أحد أشهر تطبيقات المراسلة عالميًا، بأمان زائف عند استخدام خاصية View Once. فقد تبيّن أن هذه الرسائل تُخزّن لمدة أسبوعين، ويمكن عرضها مرات عدّة دون قيود، وأحيانًا يمكن حتّى للأشخاص غير المصرّح لهم مشاهدتها، وفقًا
لتقرير صادر عن فريق أبحاث Zengo X.
يؤكّد "واتساب" أنّ المستخدمين يمكنهم إرسال صور ومقاطع فيديو ورسائل صوتية تختفي من المحادثة بعد أن يفتحها المستلم لمرة واحدة فقط. تُعرف هذه الخاصيّة باسم "الإرسال كعرض مرّة واحدة".
ومع ذلك، يشير الباحثون إلى أن خاصية الوسائط View Once يمكن التحايل عليها بسهولة. الثغرات الأمنية، مثل ملحقات متصفّح الويب التي تستطيع كشف الرسائل التي تمّت مشاهدتها سابقًا، متوفرة بالفعل في المجال العام.
تكمن المشكلة في الطريقة التي يتمّ بها تنفيذ الوظيفة. عندما يرسل مستخدم مثل هذه الرسالة، تنتقل إلى خادم "واتساب" بدلاً من جهاز المتلقّي. لا توجد حماية مفروضة من إساءة استخدام واجهة برمجة التطبيقات الخاصة بالخادم.
يرسل الخادم الرسالة إلى "جميع أجهزة المتلقي، بما في ذلك الأجهزة التي لا يُسمح عرضها".
إن رسائل الوسائط View Once هي رسائل الوسائط العادية نفسها من الناحية الفنية، فقط مع تعيين علامة view once، وهذا يعني أنها تعادل افتراضيًا وضع ملاحظة على الصورة تقول "لا تنظر".
يمكن لتطبيق ويب استقبال الرسالة مرات عدّة وتغيير إعداد isViewOnce إلى false لتحويلها إلى رسالة عادية. لا يتطلب ذلك كسر الحماية أو تعديل الملفات الثنائية.
يحصل متلقّي الرسالة على عنوان URL للرسالة المشفّرة مع مفتاح التشفير.
وفقًا لتقرير Zengo، إذا كان عنوان URL معروفًا، فيمكن لأيّ عميل تنزيل الوسائط المشفّرة المخزّنة على خادم "واتساب" دون مصادقة. تحتوي بعض الرسائل على معاينة منخفضة الجودة يمكن استخدامها لعرض الصورة دون تنزيلها حتى.
يتمّ تخزين الرسائل على خادم "واتساب" لمدة أسبوعين بعد تنزيلها.
يزعم الباحثون أنّ "المرء يتوقّع أن يقوم الخادم بحذف وسائط View Once على الفور، بمجرّد تنزيلها".
كإثبات، قام الباحثون ببناء عميل "واتساب" غير الرسمي الخاص بهم وأبلغوا "ميتا" بنتائجهم. ومع ذلك، بعد اكتشاف آخرين يستخدمون هذا التطبيق الصريح، أصدرت Zengo نتائجها علنًا.
يقترح التقرير أنّ "لحلّ هذه المشكلة بشكل فعّال، يحتاج "واتساب" إلى تطبيق حلّ إدارة الحقوق الرقمية DRM المناسب، والذي يتحقّق أيضًا من وجود دعم الأجهزة لمثل هذا DRM. توفّر أنظمة التشغيل Android وiOS وأنظمة التشغيل الحديثة الأخرى مثل هذه الأطر".
أخبر متحدّث باسم "واتساب" موقع RestorePrivacy أنّ التحديثات الخاصة بالميزة قادمة وشجّع المستخدمين على إرسال الرسائل الحساسة فقط إلى الأشخاص الذين يثقون بهم.