/ / Интернет-сервисы

Эксперты обнаружили в популярном мессенджере WhatsApp уязвимость, позволяющую посторонним лицам перехватывать и читать чужую переписку. В Facebook, который владеет сервисом WhatsApp, открестились от обвинений, заявив, что всё так и должно работать.

Переписка пользователей WhatsApp может быть перехвачена.

В сквозном шифровании, используемом в WhatsApp, обнаружилась уязвимость. В теории она позволяет третьим лицам перехватывать и читать сообщения, передаваемые в WhatsApp. Эксперты считают что такая возможность реализована специально, чтобы государственные органы США могли получать доступ к приватной переписке, в то время как пользователи уверены в защищенности соединения. В свою очередь в Facebook продолжают настаивать, что перехват сообщений в WhatsApp невозможен.

Стоит отметить, что сквозное шифрование в WhatsApp появилось в апреле 2016 года. Оно реализовано на базе протокола Signal, разработанного Open Whisper Systems. Протокол включает генерацию уникальных ключей, которыми в начале соединения обмениваются клиентские приложения собеседников, и их взаимную верификацию, исключающую перехват и чтение содержимого посланий посторонними.

Однако в WhatsApp существует функция принудительной генерации новых ключей шифрования для оффлайновых пользователей, причем отправитель и получатель сообщений о появлении новых ключей ничего не сообщается. Более того, не доставленные сообщения отправителя перешифровываются с помощью новых ключей, и отправляются повторно. Это перешифровывание и повторная отправка сообщений в теории позволяет сотрудникам WhatsApp перехватывать и читать пользовательские сообщения.

Получатель сообщения вообще не узнает ничего об изменениях в шифровании, в то время как отправитель получит уведомление только в том случае, если в настройках шифрования указал обязательную отправку таких уведомлений, и только в случае повторной отправки сообщений.

Проблему обнаружил Тобиас Бельтер (Tobias Boelter), эксперт по криптографии и информационной безопасности в Университете штата Калифорния. По его утверждению, он уведомил Facebook об уязвимости в апреле 2016 года, однако ему ответили, что проблемы не существует, и схема так и должна работать. Интересно, что в самом Signal этой уязвимости нет, автоматическая повторная отправка сообщений с новыми ключами шифрования там не предусматривается.

«Кто-то может сказать, что уязвимость можно использовать исключительно для просмотра отдельных сообщений, а не всего разговора. Однако это не так, учитывая, что сервер WhatsApp может просто перенаправлять сообщения без отправки уведомлений о доставке сообщений... чего пользователи могут и не заметить. Благодаря уязвимости, связанной с повторной отправкой сообщений, сервер WhatsApp может получить весь лог разговора, а не только одно сообщение», - утверждает Бельтер.

Представители WhatsApp заявили, что повторная отправка сообщений была реализована, поскольку «во многих регионах мира люди часто меняют устройства и SIM-карты», и что в таких ситуациях WhatsApp заботится о том, чтобы сообщения были доставлены адресату и не терялись.

Facebook выкупил WhatsApp в 2014 году за $22 млрд. В августе 2015 года политика безопасности личных данных была изменена, и Facebook начал комбинировать данные о пользователях WhatsApp и Facebook (в том числе, телефонные номера и статистику использования приложения) в рекламных целях и для дальнейшего совершенствования.

Похожие сюжеты / 6

В WhatsApp заработала функция автоматического удаления сообщений
Программы и приложения / Ангелина Гор
В WhatsApp заработала функция удаления сообщений у собеседника
Интернет-сервисы / Ангелина Гор
В Telegram заработала функция импорта сообщений из WhatsApp
Интернет-сервисы / Ангелина Гор
В WhatsApp заработала функция предварительного прослушивания голосовых сообщений
Интернет-сервисы / Стас Кузьмин
В сервисе WhatsApp появилась функция отправки голосовых сообщений
Интернет-сервисы / Никита Светлых
WhatsApp запускает платную рассылку сообщений для корпоративных клиентов
Интернет-сервисы / Ангелина Гор