Guardian: Учёные обнаружили в WhatsApp уязвимость, которая позволяет перехватывать сообщения пользователей

Учёный из Калифорнийского университета Тобиас Болтер в Беркли обнаружил, что мессенджер WhatsApp может незаметно для пользователей менять ключи шифрования и получать доступ к их переписке. Об этом сообщает издание Guardian.

Guardian: Учёные обнаружили в WhatsApp уязвимость, которая позволяет перехватывать сообщения пользователей

Учёные из университета Беркли изучили реализацию функции оконечного шифрования переписок в WhatsApp, которую разработчики мессенджера подключили всем пользователям в апреле 2016 года. Выяснилось, что в алгоритме существует лазейка, которая позволяет получить доступ к зашифрованной переписке владельцев смартфонов.

Шифрование в WhatsApp работает следующим образом: уникальный ключ шифрования для каждого пользователя привязан к номеру телефона, и устройство не может передать его другим — таким образом, пользователь может общаться в мессенджере только с одного устройства единовременно. В создании алгоритма шифрования принимала участие компания Open Whisper Systems (OWS) — разработчик мессенджера Signal, рекомендованного к использованию Эдвардом Сноуденом.

Специалист по криптографии и безопасности Тобиас Болтер обнаружил уязвимость в алгоритме — она позволяет мессенджеру генерировать новые ключи шифрования для пользователей, которые в текущий момент находятся в офлайн-режиме. Эта процедура практически незаметна для отправителя сообщений. В результате смены ключа шифрования мессенджер заново шифрует и отправляет все отправленные пользователем сообщения, которые не были помечены как доставленные.

Получатель не узнаёт о смене ключа, а отправитель может обнаружить проблему в том случае, если в настройках аккаунта включены уведомления о подозрительных действиях с ключами шифрования. Оповещение о проблеме он получит только после того, как сообщения окажутся перешифрованы и заново отправлены получателю.

По мнению Болтера, повторная генерация ключей шифрования и отправка сообщений позволяют WhatsApp перехватывать и читать сообщения пользователей.

При этом в мессенджере Signal аналогичной уязвимости не обнаружилось, пишет Guardian. Учёные рассказали о проблеме руководству Facebook в апреле 2016 года, и компания отметила, что это запланированное поведение системы и разработчики не работают над решением проблемы. К январю 2017 года, пишет Guardian, уязвимость так и не была устранена.

Facebook заявляет, что никто, в том числе и сотрудники компании, не имеют доступа к сообщениям пользователей — благодаря внедренной системе оконечного шифрования. В октябре 2016 года международная правозащитная организация Amnesty International признала WhatsApp одним из самых защищенных от несанкционированого доступа к переписке мессенджеров мира.

Представители WhatsApp в ответ на запрос Guardian рассказали, что компания «заботится о безопасности пользователей» и обратили внимание на наличие в мессенджере функции, которая предупреждает пользователя о смене ключа шифрования.

30 комментариев

Учёные обнаружили в WhatsApp уязвимость


А что, WhatsApp уже учёные изучать стали?

9

Не сам WhatsApp, а его "шифрование". Криптографы такими вещами и занимаются, в том числе.

1

TelegramВ Telegram оконечное шифрование работает только в режиме секретных чатов, алё-алё, приём. В ином случае (обычные чаты, групповые чаты) — переписка доступна владельцам сервиса.
Для мобильных платформ порекомендовать можно только Signal.

4

Интересно, как Вы собираетесь хранить какую-либо тайну в групповом чате (пусть даже секретном).

7

Поставил случайно минус, а отменить не дает почему-то :/
Это все верно, но вот последняя рекомендация странная. Порекомендовать кому и для чего? Параноикам то да, если хотите облачной синхронизации между девайсами, то только так и можно.

1