Появившийся совсем недавно новый сервис WhatsApp Web, позволяющий пользователям синхронизировать в десктопной и мобильной версиях историю своего общения, содержит критическую уязвимость, затрагивающую конфиденциальность данных пользователей WhatsApp.

В частности, техноиздание Naked Security сообщило, что независимый ИБ-эксперт Индражит Бхуян установил, что в ряде случаев WhatsApp Web открывает одним пользователям доступ к фотоснимкам других пользователей без учета настроек приватности. При этом в мобильных клиентах мессенджера подобной «открытости» не возникает.

Сама уязвимость проявляется, когда пользователь WhatsApp сначала отправляет в адрес какого-либо из своих контактов фотографию, а потом удаляет ее. Удалять он может ее по множеству причин: к примеру, если ошибся и вместо фотографий с корпоратива выслал коллеге свои доходы в Ladbrokes (или наоборот). В этом случае в мобильном WhatsApp получатель фото больше не сможет просмотреть его, а будет видеть лишь «размытую» миниатюру снимка, а вот WhatsApp Web не накладывает на удаленные фотографии эффекта размытия.

Кроме этого, Бхуян сообщил, что десктопная версия WhatsApp позволяет сторонним пользователям увидеть не только скрытые фотографии, но также некоторые закрытее данные стороннего профиля.