Guardian: Учёные обнаружили в WhatsApp уязвимость, которая позволяет перехватывать сообщения пользователей

Учёный из Калифорнийского университета Тобиас Болтер в Беркли обнаружил, что мессенджер WhatsApp может незаметно для пользователей менять ключи шифрования и получать доступ к их переписке. Об этом сообщает издание Guardian.

Учёные из университета Беркли изучили реализацию функции оконечного шифрования переписок в WhatsApp, которую разработчики мессенджера подключили всем пользователям в апреле 2016 года. Выяснилось, что в алгоритме существует лазейка, которая позволяет получить доступ к зашифрованной переписке владельцев смартфонов.

Шифрование в WhatsApp работает следующим образом: уникальный ключ шифрования для каждого пользователя привязан к номеру телефона, и устройство не может передать его другим — таким образом, пользователь может общаться в мессенджере только с одного устройства единовременно. В создании алгоритма шифрования принимала участие компания Open Whisper Systems (OWS) — разработчик мессенджера Signal, рекомендованного к использованию Эдвардом Сноуденом.

Специалист про криптографии и безопасности Тобиас Болтер обнаружил уязвимость в алгоритме — она позволяет мессенджеру генерировать новые ключи шифрования для пользователей, которые в текущий момент находятся в офлайн-режиме. Эта процедура практически незаметна для отправителя сообщений. В результате смены ключа шифрования мессенджер заново шифрует и отправляет все отправленные пользователем сообщения, которые не были помечены как доставленные.

Получатель не узнаёт о смене ключа, а отправитель может обнаружить проблему в том случае, если в настройках аккаунта включены уведомления о подозрительных действиях с ключами шифрования. Оповещение о проблеме он получит только после того, как сообщения окажутся перешифрованы и заново отправлены получателю.

По мнению Болтера, повторная генерация ключей шифрования и отправка сообщений позволяют WhatsApp перехватывать и читать сообщения пользователей. При этом в мессенджере Signal аналогичной уязвимости не обнаружилось, пишет Guardian. Учёные рассказали о проблеме руководству Facebook в апреле 2016 года, и компания отметила, что это запланированное поведение системы и разработчики не работают над решением проблемы. К январю 2017 года, пишет Guardian, уязвимость так и не была устранена.

Facebook заявляет, что никто, в том числе и сотрудники компании, не имеют доступа к сообщениям пользователей — благодаря внедренной системе оконечного шифрования. В октябре 2016 года международная правозащитная организация Amnesty International признала WhatsApp одним из самых защищенных от несанкционированого доступа к переписке мессенджеров мира.

Представители WhatsApp в ответ на запрос Guardian рассказали, что компания «заботится о безопасности пользователей» и обратили внимание на наличие в мессенджере функции, которая предупреждает пользователя о смене ключа шифрования. Статьи по теме