WhatsApp View Once Özelliği Dördüncü Kez Atlatıldı; Meta Düzeltmeyecek
Araştırmacı Tal Be'ery, WhatsApp'ın View Once özelliğini atlatmanın dördüncü yöntemini buldu. Meta, değiştirilmiş istemci gerektirdiği için açığı düzeltmeyecek.
Yeni Bypass Yöntemi Keşfedildi
Araştırmacı Tal Be'ery, WhatsApp'ın View Once özelliğini atlatmanın dördüncü yöntemini buldu. Meta, açığı düzeltmeyecek çünkü bu değiştirilmiş bir istemci uygulaması kullanılmasını gerektiriyor.
View Once özelliği, kullanıcıların görüntülendikten sonra sohbetten kaybolan fotoğraf, video veya sesli mesajlar göndermesini sağlıyor. Özellik ayrıca içeriğin kaydedilmesini, yönlendirilmesini veya ekran görüntüsü alınmasını engellemek için tasarlandı.
Daha Önceki Açıklar Yamalandı
Kripto cüzdanı Zengo'nun kurucu ortağı ve CTO'su Tal Be'ery, son birkaç yılda View Once'ı atlatmanın birkaç yolunu buldu. Araştırmacı, daha önce keşfedilen tüm bypass açıklarının WhatsApp geliştiricileri tarafından yamalandığını ve bunlardan biri için hata ödülü aldığını söyledi.
Zengo, Eylül 2024'te o dönemde bildirilen bir bypass'ın gerçek dünyada istismar edildiğini tespit ettikten sonra uyarı yayınlamıştı.
Meta Neden Yamalamıyor?
Be'ery, en son yöntemi SecurityWeek için gösterdi ve kötü amaçlı istismarı önlemek için teknik detayları paylaşmadan bulgularını açıklayan bir blog yayınladı. Exploit, değiştirilmiş bir WhatsApp istemcisi kullanımını içeriyor.
Araştırmacı, bir saldırganın kitlesel istismar için bir tarayıcı uzantısı ve WhatsApp Web'i de kullanabileceğini belirtti.
WhatsApp'ın sahibi Meta, güvenlik açığı hakkında bilgilendirildi, ancak şirket bunu düzeltmeyi planlamıyor. Sebep: Saldırı değiştirilmiş bir müşteri uygulaması gerektiriyor.
Kullanıcılar Ne Yapmalı?
View Once özelliği tamamen güvensiz hale geldi. Kullanıcılar, hassas içerik gönderirken bu özelliğe güvenmemeli. Değiştirilmiş istemciler veya tarayıcı uzantıları kullanan saldırganlar, "bir kez görüntüleme" olarak gönderilen medyayı kolayca kaydedebilir.
Kaynak: securityweek.com
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.