Ты, я и хакер: кто читает вашу приватную переписку

Несмотря на абонентское или, говоря иначе, сквозное шифрование, ставшее обычным в диалогах популярного мобильного мессенджера WhatsApp, группа немецких криптографов из Рурского университета в Бохуме обнаружила пустячный недостаток в системе его безопасности. Этот недочет может привести к тому, что в приватные чаты, куда теоретически можно попасть лишь по приглашению администратора (создателя чата), способны влезть незваные гости или хакеры.

Свою статью "Лучшее — враг хорошего: о сквозной безопасности групповых чатов в Signal, WhatsApp и Threema" (More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema) криптографы зачитали в виде доклада на симпозиуме Real World Crypto Symposium, проходящем в Цюрихе.

Ученые подчеркнули, что администрация WhatsApp не предпринимает необходимых мер по обеспечению безопасности переписки, хотя при этом регулярно сообщает пользователям мессенджера о защите их приватности "сквозным шифрованием". Его принцип состоит в том, что все данные о переписке, включая ее содержание, теоретически остаются на устройствах участвующих в общении пользователей.

Однако сведения хранятся и на специальных серверах, официальный доступ к которым могут получить только силовики на основании определенных законов (в том числе и с разрешения суда) и сама компания-"оператор" чата. А также хакеры, причем для этого им даже не надо "покорять" сам сервер.

Читайте также: WhatsApp разрешил пользователям следить за друзьями

В отличие от Signal и Threema, тот, кто контролирует серверы WhatsApp, может с легкостью допустить новых участников в закрытую группу мессенджера, даже не обладая правами администратора (который якобы контролирует доступ к этим приватным беседам).

И это еще не самая скверная новость. Хакерам вовсе не нужно контролировать главные чат-серверы WhatsApp (это и впрямь представляется довольно сложной задачей). Взломщикам достаточно обойти администратора группы, чтобы влезть в любой разговор. Всякий сумевший это проделать будет в состоянии выборочно блокировать видимые сообщения учетных записей и даже пользователей чата.

Однако администрация компании Facebook, которой принадлежит мессенджер WhatsApp, похоже, не слишком беспокоится о потенциальной лазейке в системе своей безопасности. По словам руководства центра безопасности мобильного приложения, все действующие участники чатов получают уведомления о появлении новых собеседников и в любой момент могут прекратить дальнейшее общение. Но на практике пользователь может элементарно не заметить это уведомление или (учитывая, что в WhatsApp можно брать логин-псевдоним) не понять, что пришел посторонний.

Читайте по теме: как Apple следит за пользователями своих устройств

Официальный представитель WhatsApp признал факт существования недоработки, пояснив, что проверять подлинность приглашений, по которым в приватные группы приходят новые участники, нереально — в мессенджере отсутствует соответствующий механизм. Более того, отключение этого пробела в системе безопасности, скорее всего, навредит функции Group Invite Link, которая нравится многим пользователям групповых чатов. Похоже, что проблема безопасности связана с этой конкретной опцией.

Тем не менее, Мэтью Грин (Matthew Green) из университета им. Джона Хопкинса назвал реакцию WhatsApp "безмозглой", уподобив ее одной-единственной камере видеонаблюдения, поставленной отпугивать грабителей от незапертого банковского хранилища. Вопрос лишь в том, насколько важной и конфиденциальной информацией обмениваются участники конкретного "закрытого" чата — и, соответственно, в интересе к ней хакеров.

Безопасность WhatsApp неоднократно становилась предметом критического обсуждения. После того как все сообщения, отправляемые с платформы, в 2016 году были полностью зашифрованы, эта популярная бесплатная система мгновенного обмена текстовыми сообщениями подверглась критике со стороны законодателей Великобритании.

Читайте больше:

Удаленная работа: Пучдемон хочет править Каталонией по What's App

Встройте "Правду.Ру" в свой информационный поток, если хотите получать оперативные комментарии и новости:

Подпишитесь на наш канал в Яндекс.Дзен

Добавьте "Правду.Ру" в свои источники в Яндекс.Новости или News.Google

Также будем рады вам в наших сообществах во ВКонтакте, Фейсбуке, Твиттере, Одноклассниках, Google+...


Полезные советы от Сноудена: Как защитить себя от слежки и прослушки
Комментарии
Армия ДНР сообщила о готовящемся вторжении Украины
Врачам и учителям запретили дареный алкоголь
Национальный соцопрос показал - россияне ждут войны
Росфинмониторинг нашел множество "офшоров" губернаторов и депутатов
Техподдержка Apple может просмотреть экран любого iPhone
Страну ждут новые 90-е и шоковая терапия 2.0?
В соцсетях запретили писать об интимном
Венесуэла: Мадуро, Кастро и Путин хотят Карибский кризис 2.0
Омбудсмен: Жители не могут мешать сдаче квартир онкобольным
СМИ: НАТО выдвинуло России ультиматум, но не знает, как наказывать за его невыполнение
Росфинмониторинг нашел множество "офшоров" губернаторов и депутатов
Венесуэла: Мадуро, Кастро и Путин хотят Карибский кризис 2.0
Десять признаков, которые предупреждают об угрозе диабета
Что мешает Армении стать проамериканской
Зачем читать глянцевые журналы?
Озвучены реальные размеры российских пенсий
Путин ввел новый налог для работающих россиян
Истребители НАТО перехватили Ту-160: в случае войны их бы сбили
Pew Research Center: отношение к Путину и России во всем мире остается негативным
Pew Research Center: отношение к Путину и России во всем мире остается негативным
Кудрин предупредил Россию о судьбе СССР