פונקציית "תצוגה חד-פעמית", שהושקה על ידי וואטסאפ ב-2021, נועדה להוסיף שכבת פרטיות נוספת על ידי שליחת מדיה (תמונות וסרטונים) שניתן לצפות בהן פעם אחת בלבד לפני שהן נעלמות. הגנה זו זמינה למשתמשי האפליקציה במכשירי אנדרואיד ו-iOS. כאשר משתמש מנסה לפתוח תוכן מסוג "תצוגה חד-פעמית" בגרסת הווב או באפליקציית שולחן העבודה, מופיעה אזהרה המציינת שתוכן זה ניתן לפתיחה רק בטלפון.
תחושת ביטחון שגויה
טל בערי, חוקר אבטחה ומייסד שותף של חברת Zengo, גילה פרצה בפונקציית "תצוגה חד-פעמית" בגרסת הווב של וואטסאפ. לטענתו, משתמש זדוני יכול לעקוף את המחיקה האוטומטית של הקבצים, לצפות בהם ולאחר מכן לשמור אותם, למרות שהם אמורים להיעלם לאחר הפתיחה. בהדגמה שערך עבור TechCrunch, הצליח החוקר לשמור תמונה שנשלחה כ"תצוגה חד-פעמית" באמצעות גרסת הווב של וואטסאפ.
לאחר דיווח על הפרצה ב-26 באוגוסט דרך תוכנית תגמולי הבאגים הרשמית של מטא, החברה האם של וואטסאפ, הגיבה במהירות. דובר החברה מסר ל-TechCrunch כי עדכונים נמצאים בתהליך פריסה לתיקון הפרצה באפליקציית הווב. "אנו ממליצים תמיד לשלוח הודעות 'תצוגה חד-פעמית' רק לאנשים שבוטחים בהם," הוסיף הדובר.
עם זאת, מטא לא סיפקה תאריך סופי לפתרון הבעיה. הפרצה כבר נוצלה קודם לכן על ידי תוספי דפדפן, עוד לפני שגילה אותה טל בערי. דיונים ברשתות החברתיות מראים שמשתמשים רבים כבר חלקו שיטות לעקוף את ההגנה של "תצוגה חד-פעמית" באמצעות אותם תוספים או תוכנות צד שלישי. מצב זה מעלה שאלות מטרידות לגבי החוזק של הפונקציה הזו והמחויבות של וואטסאפ ומטא להגן על נתוני המשתמשים.
בערי לא חוסך ביקורת על וואטסאפ, ומכנה את פונקציית "תצוגה חד-פעמית" כ"הבטחה כוזבת לפרטיות". בפוסט בבלוג שפורסם באתר Zengo הוא מסביר: "הדבר הגרוע ביותר מאי-פרטיות הוא האשליה שיש פרטיות. וואטסאפ מוליכה שולל את המשתמשים שלה בכך שהיא גורמת להם לחשוב שסוגים מסוימים של תקשורת פרטיים, בעוד שהם לא." הוא ממליץ או לחזק את הפונקציה באופן משמעותי או לבטל אותה לחלוטין.
החוקר מציע כמה פתרונות, כגון יישום מערכת ניהול זכויות דיגיטליות (DRM) או הגבלת השימוש בתמונות וסרטונים בפונקציית "תצוגה חד-פעמית" למכשירים ניידים בלבד. פתרונות אלו עשויים לצמצם את ניצול הפונקציה בפלטפורמות פחות מאובטחות כמו אפליקציות הווב ושולחן העבודה.
- טל בערי, חוקר אבטחה, גילה פרצה בפונקציית "תצוגה חד-פעמית" בגרסת הווב של וואטסאפ, המאפשרת למשתמשים זדוניים לשמור קבצים שאמורים להימחק אוטומטית.
- מטא הגיבה במהירות ותיקונים נמצאים בתהליך פריסה, אך טרם סיפקה תאריך סופי לפתרון מלא של הבעיה.
- בערי מבקר את וואטסאפ וטוען כי הפונקציה מספקת "אשליה של פרטיות" וממליץ לחזק אותה או לבטלה לחלוטין, עם הצעות כמו יישום DRM או הגבלת השימוש למכשירים ניידים בלבד.
