WhatsApp fĂĽr iOS: Bug konnte "Nur einmal anschauen"-Medien wieder hervorholen

Eigentlich sollte das "View Once"-Feature in WhatsApp ähnlich wie bei Snapchat Inhalte sofort verschwinden lassen. Das war aber aufgrund eines Fehlers nicht so.

In Pocket speichern vorlesen Druckansicht 4 Kommentare lesen
Apps von Threads, Facebook, Instagram, WhatsApp, Messenger und Meta auf einem Smartphone

Gehören alle Mark Zuckerberg: Apps von Threads, Facebook, Instagram, WhatsApp, Messenger und Meta auf einem Smartphone.

(Bild: Koshiro K/Shutterstock.com)

Lesezeit: 3 Min.

In Metas WhatsApp-Client für iOS steckte offenbar über einen längeren Zeitraum ein Fehler, der vom Versender eigentlich nur für einmaliges Anschauen gedachte Medieninhalte "ewig" vorhalten konnte. Das berichtet der Sicherheitsforscher mit dem Nicknamen Ramshath in einem Medium-Post. Angreifbar war demnach das sogenannte "View Once"-Feature. Es soll eigentlich dafür sorgen, dass entsprechend gekennzeichnete Fotos und Videos sofort aus der App verschwinden, sobald sie einmal betrachtet wurden – ein wenig wie man dies von Snapchat kennt. Allerdings machte die App nicht das, was Nutzer erwarten: Es gab einen Trick, die eigentlich flüchtigen Medien wieder hervorzuholen, eine tatsächliche Löschung fand nicht statt.

Der Bug, der mittlerweile behoben wurde, nachdem Meta kontaktiert worden war, ließ sich über die Einstellungen ausnutzen. Wenn man im Bereich der Speicherverwaltung nach den neuesten Inhalten sortierte, tauchten View-Once-Inhalte plötzlich wieder auf. "Anstatt wie ein verantwortungsvoller Gast zu verschwinden, blieb das Bild im Bereich 'Speicher verwalten' von WhatsApp hängen und widersetzte sich so der Idee von 'Einmal ansehen'. Nachdem ich diese Entdeckung gemacht hatte, meldete ich das Problem über das Bug-Bounty-Programm von Meta", so Ramshath.

Seine Bug-Bounty-Belohnung bekam der Sicherheitsforscher allerdings nicht. Der Grund: Meta zufolge sei man "intern bereits über das Problem informiert" und arbeite schon daran, den Fehler zu beseitigen. "Da wir bereits dabei sind, dieses Problem zu entschärfen, können wir diesen Bericht nicht für eine Belohnung im Rahmen unseres Bug-Bounty-Programms qualifizieren." Wie Bug-Bounty-Teilnehmer dies wissen sollen, teilte Meta nicht mit. Ramshath war seiner eigenen Aussage zufolge zwar enttäuscht, freute sich aber, dass das Problem angegangen wird.

Wie es dazu kommen konnte, dass eigentlich zu löschende Inhalte einfach im regulären Speicherbereich von WhatsApp für iOS blieben, ist unklar. Meta hat sich öffentlich noch nicht geäußert. Das Problem kam nicht zum ersten Mal vor. In der Web-Version von WhatsApp trat im Dezember erst ein Bug auf, der ebenfalls die "echte" Löschung von View-Once-Bildern unterließ.

Mit der jüngsten Version 25.2.3 der iPhone-App von WhatsApp ist der Bug nun gefixt. Was passiert, wenn Angreifer bei einer früheren Version der App bleiben – also ob Meta auch serverseitig etwas tun kann –, blieb zunächst unklar. Die Android-Version von WhatsApp soll nicht betroffen gewesen sein.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)