WhatsAppの「一度だけ表示」機能をバイパスできるバグが発見

WhatsAppは、20億人以上のユーザーを持つ世界最大の端末間暗号化メッセージングアプリです。このアプリでは、閲覧後すぐに消える写真や動画を交換できます。

しかし、ブラウザベースのウェブアプリにおける「一度だけ表示」機能の実装にバグがありました。これにより、悪意のある受信者が写真や動画を表示・保存できてしまいます。本来なら、閲覧後すぐに消えるはずのものです。

「一度だけ表示」機能の仕組み

この機能は、AndroidとiOSのモバイルアプリでのみ動作するよう設計されています。WhatsAppは2021年にこの機能をリリースしました。

通常、デスクトップアプリやウェブアプリで「一度だけ表示」のメディアを受信すると、警告が表示されます。これは、スマートフォンのWhatsAppでのみ開けることを示すものです。

さらに、プライバシー保護のため、AndroidとiOSアプリでは「一度だけ表示」のメディアのスクリーンショットや画面録画を防いでいます。

バグの発見と影響

セキュリティ研究者のTal Be’ery氏が最近このバグを発見しました。Be’ery氏は月曜日にブログ投稿で詳細を公開しました。

Be’ery氏はTechCrunchにバグのデモを提供し、ウェブ版WhatsAppで「一度だけ表示」として送信された写真をキャプチャ・保存できることを示しました。

Be’ery氏は次のように述べています。「プライバシーがないよりも悪いのは、偽りのプライバシー感覚です。ユーザーがある通信形態をプライベートだと信じているのに、実際にはそうでない場合です」

また、Be’ery氏は「現在のWhatsAppの『一度だけ表示』機能は偽りのプライバシーの一形態です。徹底的に修正するか、廃止すべきです」と付け加えました。

WhatsAppの対応

Be’ery氏は8月26日に、WhatsAppの親会社Metaの公式バグ報奨金プラットフォームを通じてこのバグを報告しました。

TechCrunchのコメント要請に対し、WhatsAppの広報担当者Zade Alsawah氏は次のように述べました。「我々はすでにウェブ版の『一度だけ表示』機能のアップデートを展開中です。ユーザーには引き続き、信頼できる相手にのみこの機能を使用するよう呼びかけています」

しかし、Be’ery氏が最初にこのバグを発見したわけではありません。複数のブラウザ拡張機能が、ウェブ版WhatsAppの「一度だけ表示」機能を簡単にバイパスできるようにしていることが分かっています。

WhatsAppは「一度だけ表示」機能のアップデート完了時期については明言していません。ユーザーは、この機能の使用には十分注意を払う必要があります。