Guardian: Учёные обнаружили в WhatsApp уязвимость, которая позволяет перехватывать сообщения пользователей Статьи редакции
Учёный из Калифорнийского университета Тобиас Болтер в Беркли обнаружил, что мессенджер WhatsApp может незаметно для пользователей менять ключи шифрования и получать доступ к их переписке. Об этом сообщает издание Guardian.
Учёные из университета Беркли изучили реализацию функции оконечного шифрования переписок в WhatsApp, которую разработчики мессенджера подключили всем пользователям в апреле 2016 года. Выяснилось, что в алгоритме существует лазейка, которая позволяет получить доступ к зашифрованной переписке владельцев смартфонов.
Шифрование в WhatsApp работает следующим образом: уникальный ключ шифрования для каждого пользователя привязан к номеру телефона, и устройство не может передать его другим — таким образом, пользователь может общаться в мессенджере только с одного устройства единовременно. В создании алгоритма шифрования принимала участие компания Open Whisper Systems (OWS) — разработчик мессенджера Signal, рекомендованного к использованию Эдвардом Сноуденом.
Специалист по криптографии и безопасности Тобиас Болтер обнаружил уязвимость в алгоритме — она позволяет мессенджеру генерировать новые ключи шифрования для пользователей, которые в текущий момент находятся в офлайн-режиме. Эта процедура практически незаметна для отправителя сообщений. В результате смены ключа шифрования мессенджер заново шифрует и отправляет все отправленные пользователем сообщения, которые не были помечены как доставленные.
Получатель не узнаёт о смене ключа, а отправитель может обнаружить проблему в том случае, если в настройках аккаунта включены уведомления о подозрительных действиях с ключами шифрования. Оповещение о проблеме он получит только после того, как сообщения окажутся перешифрованы и заново отправлены получателю.
По мнению Болтера, повторная генерация ключей шифрования и отправка сообщений позволяют WhatsApp перехватывать и читать сообщения пользователей.
При этом в мессенджере Signal аналогичной уязвимости не обнаружилось, пишет Guardian. Учёные рассказали о проблеме руководству Facebook в апреле 2016 года, и компания отметила, что это запланированное поведение системы и разработчики не работают над решением проблемы. К январю 2017 года, пишет Guardian, уязвимость так и не была устранена.Facebook заявляет, что никто, в том числе и сотрудники компании, не имеют доступа к сообщениям пользователей — благодаря внедренной системе оконечного шифрования. В октябре 2016 года международная правозащитная организация Amnesty International признала WhatsApp одним из самых защищенных от несанкционированого доступа к переписке мессенджеров мира.
Представители WhatsApp в ответ на запрос Guardian рассказали, что компания «заботится о безопасности пользователей» и обратили внимание на наличие в мессенджере функции, которая предупреждает пользователя о смене ключа шифрования.
А что, WhatsApp уже учёные изучать стали?
Комментарий удален модератором
Не сам WhatsApp, а его "шифрование". Криптографы такими вещами и занимаются, в том числе.
Да нет, я понял о чём речь. Просто заголовок странно звучит.
В Telegram оконечное шифрование работает только в режиме секретных чатов, алё-алё, приём. В ином случае (обычные чаты, групповые чаты) — переписка доступна владельцам сервиса.
Для мобильных платформ порекомендовать можно только Signal.
Интересно, как Вы собираетесь хранить какую-либо тайну в групповом чате (пусть даже секретном).
Групповой чат с самим собой, например.
Похоже на шизофрению
Поставил случайно минус, а отменить не дает почему-то :/
Это все верно, но вот последняя рекомендация странная. Порекомендовать кому и для чего? Параноикам то да, если хотите облачной синхронизации между девайсами, то только так и можно.
Телепатия.
Telegram.
Комментарий удален модератором
Оффлайн.
Всегда интересовало, а что все эти люди-параноики так стараются спрятать в своих сообщениях? Прям тайные агенты.
Да, в общем, много чего. Например, рабочие обсуждения, закрытые NDA.
Персональные данные. Просто личную переписку, которую не хотелось бы передавать третьим лицам.
Компрометирующую информацию о действиях на грани легальности (использование нелицензионного софта, банально).
- зай, купи молока на обратном пути
- конечно, пуся
- =***
Комментарий удален модератором
Дуров в тайне поставил свечку за Тобиаса.
А теперь внимание вопрос:
Мокси (из OpenWhisper) клялся и божился, что он лично видел, как в WhatsApp (с закрытыми исходниками) используется правильная реализация его OpenWhisper'а.
И ВНЕЗАПНО в Signal ничего нет, а в WA - есть уязвимость.
Ай да Мокси, ай да лживый (нехороший человек)
вопрос-то давай уже.
Ах да, точно.
ПОЧЕМУ?
НИПАЧЕМУ
XMPP c OTP PGP шифрованием.
Почтовые голуби.
Пес.
Паша уже, наверное, смакует какой-нибудь напиток во рту и думает, что бы написать такого в твиттере :)
Вот вам и "по умолчанию" шифрование, о котором так просил Сноуден.
А, вот, насмаковал: https://twitter.com/durov/status/819890808925159424
Голуби.
Ружье
Почта России.
Крупная международная компания, с активами в приличных странах - и делает мессенджер, который в состоянии выполнить требования правоохранительных органов? И не очень подходит террористам и шпионам?
НИЧОСИ! Никогда б не подумал
Комментарий недоступен
Комментарий удален модератором
Комментарий удален модератором
Абсолютно понятно, что ни один мессенджер не спасет от потери данных, в случае острой надобности )