WhatsApp haalt bug uit app waarmee View Once-functie omzeild kan worden

Er zit een bug in de View Once-functie van WhatsApp, waarmee gebruikers de eenmalige weergave van een afbeelding of video kunnen omzeilen. WhatsApp is bezig met het uitrollen van een update die de fout uit de chatapp moet halen.

De fout werd aangekaart bij WhatsApps bugbountyplatform door Tal Be'ery, de medeoprichter van cryptowallet Zengo. Door de bug was het mogelijk om de View Once-functie volledig te omzeilen. Foto's die via deze eenmaligeweergavefunctie zijn verstuurd of ontvangen, kunnen normaal gesproken niet worden opgeslagen of doorgestuurd. Wanneer een foto eenmaal bekeken is, verdwijnt deze. Het is ook niet mogelijk om screenshots te maken van dergelijke foto's en ze kunnen normaliter alleen geopend worden op een telefoon.

Via de bug was het echter mogelijk om foto's en video's meermaals te bekijken. Ze konden ook gedownload en doorgestuurd worden. De View Once-berichten zijn hetzelfde als 'gewone' WhatsApp-berichten, maar bevatten een flag die de weergavebeperking inschakelt. De functie kon omzeild worden door die 'view once'-flag van true naar false te veranderen.

De ontwikkelaars van Zengo kwamen op GitHub een aangepaste Android-versie van WhatsApp en een webbrowserextensie tegen waarmee men misbruik kon maken van de bug. In die aangepaste client en browserextensie wordt de 'view once'-flag uitgeschakeld. Op sociale media wordt al langer gesproken over de mogelijkheid om View Once-berichten vaker te bekijken.

WhatsApp zegt onder meer tegen BleepingComputer dat het bezig is met een oplossing voor het probleem. Het bedrijf is bezig met het uitrollen van updates om de bug te verhelpen. Ondertussen raadt de chatapp gebruikers aan om 'alleen View Once-berichten te sturen naar mensen die ze vertrouwen'.

IT-banen

Reacties (25)

Oon

10 september 2024 16:19

Ik gebruik WhatsApp via Matrix en een WA bridge, de 'view once' foto's komen bij mij als gewone foto's binnen en er staat niet eens bij dat deze foto's 'view once' zijn. Ik kan ze dus ook volledig downloaden en doorsturen en alles.
Lijkt me nogal vreemd om deze feature aan te bieden op basis van een vlaggetje, hoe werkt dit nu WhatsApp met andere platformen kan communiceren die die optie niet hebben?

Skit3000

@Oon • 10 september 2024 16:21

Als je een view-once foto ontvangt op WhatsApp web, staat er expliciet bij dat dat platform (je webbrowser) dit niet ondersteund en dat je op je telefoon moet kijken om de afbeelding te kunnen zien. Zoiets zouden ze ook met andere platforms kunnen doen. WhatsApp moet namelijk open zijn/worden, maar hoeft niet voor alle functies ondersteuning te bieden.

readefries

@Oon • 10 september 2024 16:58

Ja precies, mijn client heeft dat inderdaad. Niks geen een keer kijken, gewoon altijd

Anonymoussaurus

10 september 2024 17:04

Wat nuttige informatie/blogs van degene die het ontdekte:

https://medium.com/@TalBe...ty-is-broken-302a508390b0
https://github.com/Schwar...87754bb/packed.js#L51-L57
(hier de mogelijkheid/flag via WhatsApp Web)

[Reactie gewijzigd door Anonymoussaurus op 10 september 2024 17:07]

Robbierut4 10 september 2024 16:13

Dit soort technieken zijn leuk, maar houden niet echt wat tegen. Als jij het met je ogen kunt zien, kun je er ook een foto van maken.

Vaak zit er ook wel een screenshot beveiliging in, maar screen recording dan bijvoorbeeld weer niet.

Conclusie, gevoelige foto's gewoon maken zonder dat jezelf herkenbaar bent. Dan is het minder erg als het uitlekt.

_Pussycat_ @Robbierut4 • 10 september 2024 16:49

Ik gebruik het voor dingen die niet lang nodig zijn, bv. "Hier is een foto van de worst die ik gekocht heb, is die goed?". Iets wat je echt niet jarenlang wilt bewaren.

!mark @_Pussycat_ • 10 september 2024 17:09

Voor jezelf volledig begrijpelijk, dat soort foto's ga ik idd ook niet zitten bewaren.

Maar waarom zou jij daarmee ook willen bepalen of de ontvanger dit wil bewaren of niet, jij hebt daar in jouw voorbeeld toch helemaal geen last van? Als jij iemand een verjaardagkaart stuurt ga je toch ook niet nadat deze geopend is fysiek bij de ontvanger langs om de kaart terug te nemen en weg te gooien want niet meer nodig

En ja, ik kan me best voorstellen dat je liever niet hebt heb dat bepaalde gevoelige afbeeldingen/video's opgeslagen worden op andermans apparaat. Echter geeft dit naar mijn mening vooral schijnveiligheid gezien er altijd eenvoudige manieren zullen blijven bestaan om dit hele systeem te omzeilen. Wellicht sta ik er dan wat ouderwets in hoor, maar als ik iemand niet voldoende vertrouw om een specifieke afbeelding/video in potentie te kunnen opslaan of vaker bekijken dan stuur ik het gewoon niet.

[Reactie gewijzigd door !mark op 10 september 2024 17:10]

jaenster

@!mark • 10 september 2024 18:44

Dan maak je toch een screenshot? Als het niet uitmaakt, zoals die worst, dan zal het @_Pussycat_ het toch ook een worst zijn dat je er een screenshot van maakt

sworpie @jaenster • 10 september 2024 19:58

Je kan ze dus niet screenshotten. Dus als je in de winkel nog even de foto er bij wil pakken om te zien of je de juiste worst hebt is het wel wat lastig

localhost @jaenster • 10 september 2024 19:41

Worst-case kan het heel vervelende consequenties hebben.

Reutemeteut @localhost • 11 september 2024 08:40

Het zal mij een worst wezen.

Polderviking

@_Pussycat_ • 10 september 2024 17:13

Ik heb die feature voor dit soort dingen geprobeerd te gebruiken maar als je de foto per abuis wegklikt, of om wat voor reden dan ook een tweede keer te zien wil krijgen moet je hem opnieuw (laten) sturen.
Ik vind dat irritant dus ik stuur foto's in de praktijk alsnog gewoon als reguliere foto's want dan heb je daar geen last van.

Mensen moeten zelf maar bepalen wat ze willen bewaren van al die onzin die ze over WA toegestuurd krijgen.

[Reactie gewijzigd door Polderviking op 10 september 2024 17:16]

Admiral Freebee

@Robbierut4 • 10 september 2024 16:53

Er zijn andere redenen die minder gevoelig zijn. Een foto van je kinderen waarvan je niet wilt dat die 'eeuwig' leeft op de telefoon van iemand anders. Of een snelle foto van iets dat je in de supermarkt wil kopen.

PhilipsFan @Admiral Freebee • 10 september 2024 17:50

Als je niet wilt dat iemand een foto van je kinderen bewaart, dan moet je die foto niet versturen. Deze functie is totaal onzinnig. Laat het alsjeblieft bij de ontvanger om te bepalen of hij iets wil bewaren of een tweede keer bekijken. Niemand heeft ook maar enige behoefte aan een tweede snapchat.

Admiral Freebee

@PhilipsFan • 10 september 2024 18:07

De wereld is niet zwart wit en soms zijn er foto's die je wel wil delen maar die niet per se moeten blijven staan bij de ontvanger. En daar leent zo'n functie zich prima voor. Net zoals er nog een hele wereld is tussen openbaar delen en niet delen zit er nog veel verschil in gevoeligheid tussen een foto van een random boom en een expliciete naaktfoto.

[Reactie gewijzigd door Admiral Freebee op 10 september 2024 18:08]

Cuddle-sheep @Robbierut4 • 12 september 2024 08:39

BNN heeft een campagne gehouden #geenhoofd. Ik ben het daar helemaal mee eens.

Klunssmurf 10 september 2024 23:14

in de Opera browser voor Windows kan je gewoon View-once foto's meerdere keren bekijken en opslaan zonder trucjes uit te halen

NoobishPro 10 september 2024 18:01

De hele functionaliteit blijft in mijn ogen negatief wegens de illusie van veiligheid.

Er bestonden niet voor niets hele Snapchat "leak" websites.

Streaming services gebruiken encryptie waardoor ze op zwart gaan als er recording software draait (gruwelijk irritant, overigens, gezien ik vaak zoiets aan heb staan aan de zijkant en geen grappige screenshots meer kan maken) maar zelfs dat wordt compleet vlekkeloos omzeild.

Daar gaat iets als Whatsapp niet tegenop kunnen boksen. Zo simpel is het.

Een illusie, omdat het geen enkele garantie kan bieden. Gewoon een trap voor de minder techie people.

PhilipsFan @NoobishPro • 10 september 2024 18:16

En een honeypot. Als iemand mij een view-once foto zou sturen, dan zou ik die juist willen bewaren, omdat er dus blijkbaar iets bijzonders op staat!

sympa 10 september 2024 18:33

Ik heb het idee dat de kwaliteit van WhatsApp aan het verminderen is. Laatst had ik vertraging bij het versturen van foto's (slechte mobiele dekking). Kwamen de foto's in een soort sombietoestand, waar WA een downloadknopje in zetten. Geen uploadknopje. En serieus, bij het aantikken kwam de melding "kan ongeldig bericht niet downloaden". Halloo... je moest uploaden. En een foto is geen bericht, maar is onderdeel van een bericht...

roelboel 10 september 2024 18:57

Ik begrijp geen sikkepit van dit artikel. Wat ik lees: er is software gevonden die “view once” niet respecteert. Dat is toch geen bug, dat is toch niets anders dan het fundamentele probleem van “view once”: het werkt zolang een client meewerkt.

joost00719 10 september 2024 20:48

ADB + scrcpy en je kunt het gewoon filmen via je pc.

Roel1966

10 september 2024 23:18

Ik ga er vanuit dat als een foto, video of bericht maar eenmalig gezien mag worden en niet mag worden doorgestuurt dat je je kan afvragen om wat voor inhoud het dan gaat. Daarna kan je je sowieso al afvragen of het dan wel verstandig is om dit via Whatsapp te doen als het zo privacy gevoelig is. Je weet sowieso ook nooit wie er b.v. mee kijkt bij de ontvanger en zoals hierboven al geopperd, je kan er dan ook een foto van klikken.

Maar goed, voor mij persoonlijk, ik heb niets gemerkt van die bug en denk ook niet dat ik er iets van zou gaan merken want ik zou niet weten waarom door mij verstuurde berichten, foto's of video's maar 1 keer bekeken mogen worden.

Vibonacci 11 september 2024 12:15

En nu nog de omzeiling van maken van een screenshot of foto van je scherm fixen

Op dit item kan niet meer gereageerd worden.

WhatsApp haalt bug uit app waarmee View Once-functie omzeild kan worden

Lees meer

IT-banen

Reacties (25)

Sorteer op:

Weergave: