Наука

В WhatsApp нашли опасную уязвимость

В WhatsApp нашли опасную уязвимость

Профессионалы по кибербезопасности отыскали новейшую уязвимость мобильного мессенджера WhatsApp.

В 2015 году прошлый системный администратор Агентства государственной безопасности (АНБ) США и Центрального разведывательного управления Эдвард Сноуден (Edward Snowden) объявил, что ежедневно пользуется приложением Signal (очевидно, для связи с журналистами). «Он не защищает ваши метаданные, однако он довольно превосходно защищает ваш контент от перехвата».

В телефонном разговоре с журналом уполномоченный WhatsApp подтвердил некоторые выводы исследователей, но подчеркнул, что тайно добавить нового члена группы не получится, так как мессенджер присылает любому пользователю извещение о новом неизвестном участнике диалога. Добавленные участники могут следить за диалогом без каких-либо разрешений со стороны администратора.

В случае Signal проблема в другом — нет проверки факта участия в конференции пользователя, отправившего служебное сообщение о включении в чат нового участника.

При несанкционированном включении в чаты нового пользователя, он сумеет читать новые сообщения, что компрометирует переписку, хоть она и зашифрованная.

— «Если предполагается сквозное шифрование и для групп, и для индивидуальных диалогов, значит должна жить защита от добавления новых членов. Ежели этого нет, то ценность шифрования крайне низка», — сказал Пауль Реслер.

Как пишет Экономика сегодня, так нарушается конфиденциальность чата. Такую возможность имеет не каждый пользователь, а тот, кто владеет доступом к серверам приложения, другими словами администрация. Кроме того, ежели администратор обнаруживает подозрительное добавление новых членов группы, он всегда может сообщить об этом пользователям через иную группу либо в личных сообщениях конкретному человеку. Впрочем, многие не исключают возможности, что, например, спецслужбы, могут вынудить выдать им скрипты от серверов. В окончательном счете, он может перекрыть даже попытки его удалить из группы.

В свою очередь, сотрудники WhatsApp уверяют, что на все 100% секретно добавить кого-то в закрытый чат нереально, и что в какой-то момент чужак будет найден. Весь вопрос, впрочем, как вскоре это случится. Хотя схожие атаки маловероятны из-за надобности физического доступа и взлома управляющих серверов WhatsApp и Signal, создатели протоколов обмена в этих мессенджерах планируют внести изменения, исключающие возможность похожих атак.

Уязвимость WhatsApp состоит в том, что при получении контроля над управляющим сервером можно добавить в конференцию нового участника без пригласительного кода.