Найден способ перехватывать чужие сообщения в WhatsApp
16 янв 2017 10:20 #51159
от ICT
ICT создал тему: Найден способ перехватывать чужие сообщения в WhatsApp
Дыра в шифровании WhatsApp В сквозном шифровании, используемом в популярном сервисе WhatsApp, обнаружилось слабое место, которое эксперты уже назвали бэкдором. Уязвимость в теории позволяет третьим лицам перехватывать и читать передаваемые в WhatsApp сообщения. Правозащитники считают эту уязвимость «колоссальной угрозой свободе слова», «обманом доверия пользователей» и предупреждают, что государственные органы вполне могут пользоваться найденной брешью для чтения приватной переписки, в то время как пользователи уверены в защищенности соединения. Facebook продолжает настаивать, что перехват сообщений в WhatsApp невозможен. Неперехватываемый Signal Сквозное шифрование в WhatsApp появилось в апреле 2016 г. Оно реализовано на базе протокола Signal, разработанного Open Whisper Systems. Протокол включает генерацию уникальных ключей, которыми в начале соединения обмениваются клиентские приложения собеседников, и их взаимную верификацию, исключающую перехват и чтение содержимого посланий посторонними. Однако, как сообщает The Guardian, в WhatsApp существует функция принудительной генерации новых ключей шифрования для оффлайновых пользователей, причем отправитель и получатель сообщений о появлении новых ключей ничего не сообщается. http://filearchive.cnews.ru/img/news/2017/01/16/whatsapp600.jpg"> В сквозном шифровании WhatsApp найдена серьезная «дыра»,
позволяющая посторонним перехватывать и читать чужую переписку Более того, не доставленные сообщения отправителя перешифровываются с помощью новых ключей, и отправляются повторно. Это перешифровывание и повторная отправка сообщений - как минимум, в теории - позволяет сотрудникам WhatsApp перехватывать и читать пользовательские сообщения. Получатель сообщения вообще не узнает ничего об изменениях в шифровании, в то время как отправитель получит уведомление только в том случае, если в настройках шифрования указал обязательную отправку таких уведомлений, и только в случае повторной отправки сообщений. Проблему обнаружил [b]Тобиас Бельтер[/b] (Tobias Boelter), эксперт по криптографии и информационной безопасности в Университете штата Калифорния. По его утверждению, он уведомил Facebook об уязвимости в апреле 2016 г., однако ему ответили, что проблемы не существует: так, дескать, WhatsApp и должен работать. Интересно, что в самом Signal этой уязвимости нет, автоматическая повторная отправка сообщений с новыми ключами шифрования там не предусматривается. «Кто-то может сказать, что уязвимость можно использовать исключительно для просмотра отдельных сообщений, а не всего разговора. Однако это не так, учитывая, что сервер WhatsApp может просто перенаправлять сообщения без отправки уведомлений о доставке сообщений... чего пользователи могут и не заметить. Благодаря уязвимости, связанной с повторной отправкой сообщений, сервер WhatsApp может получить весь лог разговора, а не только одно сообщение», - утверждает Бельтер. [b]Слово подозреваемого[/b] Представители WhatsApp заявили, что повторная отправка сообщений была реализована, поскольку «во многих регионах мира люди часто меняют устройства и SIM-карты», и что в таких ситуациях WhatsApp заботится о том, чтобы сообщения были доставлены адресату и не терялись. «Сегодня более миллиарда людей используют WhatsApp, потому что это простая, быстрая, надежная и безопасная разработка. Мы всегда верили в то, что общение людей должно быть защищенным и приватным», - заявили The Guardian в пресс-службе WhatsApp. Впоследствии представители WhatsApp категорически заявили, что отмеченная Guardian уязвимость не является бэкдором. «Является ли эта особенность WhatsApp бэкдором или нет, вопрос неоднозначный; заявления о бэкдоре опровергают даже разработчики Signal», - говорит [b]Дмитрий Гвоздев[/b], генеральный директор компании "Монитор безопасности». – Но в целом этот пример - лишнее доказательство тому, как важно для самих пользователей не полагаться на «честное слово» разработчиков и проверять все, что связано с настройками безопасности, самостоятельно, насколько это вообще возможно. Facebook выкупил WhatsApp в 2014 г. за $22 млрд. В августе 2015 г. политика безопасности личных данных была изменена, и Facebook начал комбинировать данные о пользователях WhatsApp и Facebook (в том числе, телефонные номера и статистику использования приложения) в рекламных целях и для дальнейшего совершенствования. Под давлением европейской правозащитной группы Article 29 Working Party Facebook отказался использовать эти комбинированные данные в рекламных целях. Впоследствии Еврокомиссия возбудила дело против Facebook за подачу регуляторам «вводящих в заблуждение» сведений в период, предшествовавший покупке WhatsApp. Еще задолго до покупки WhatsApp критиковали за слабый алгоритм генерации пароля, отсутствие шифрование и прочие проблемы с безопасностью.[img]http://filearchive.cnews.ru/img/news/2017/01/16/whatsapp600.jpg"> В сквозном шифровании WhatsApp найдена серьезная «дыра»,
позволяющая посторонним перехватывать и читать чужую переписку Более того, не доставленные сообщения отправителя перешифровываются с помощью новых ключей, и отправляются повторно. Это перешифровывание и повторная отправка сообщений - как минимум, в теории - позволяет сотрудникам WhatsApp перехватывать и читать пользовательские сообщения. Получатель сообщения вообще не узнает ничего об изменениях в шифровании, в то время как отправитель получит уведомление только в том случае, если в настройках шифрования указал обязательную отправку таких уведомлений, и только в случае повторной отправки сообщений. Проблему обнаружил Тобиас Бельтер (Tobias Boelter), эксперт по криптографии и информационной безопасности в Университете штата Калифорния. По его утверждению, он уведомил Facebook об уязвимости в апреле 2016 г., однако ему ответили, что проблемы не существует: так, дескать, WhatsApp и должен работать. Интересно, что в самом Signal этой уязвимости нет, автоматическая повторная отправка сообщений с новыми ключами шифрования там не предусматривается. «Кто-то может сказать, что уязвимость можно использовать исключительно для просмотра отдельных сообщений, а не всего разговора. Однако это не так, учитывая, что сервер WhatsApp может просто перенаправлять сообщения без отправки уведомлений о доставке сообщений... чего пользователи могут и не заметить. Благодаря уязвимости, связанной с повторной отправкой сообщений, сервер WhatsApp может получить весь лог разговора, а не только одно сообщение», - утверждает Бельтер. Слово подозреваемого Представители WhatsApp заявили, что повторная отправка сообщений была реализована, поскольку «во многих регионах мира люди часто меняют устройства и SIM-карты», и что в таких ситуациях WhatsApp заботится о том, чтобы сообщения были доставлены адресату и не терялись. «Сегодня более миллиарда людей используют WhatsApp, потому что это простая, быстрая, надежная и безопасная разработка. Мы всегда верили в то, что общение людей должно быть защищенным и приватным», - заявили The Guardian в пресс-службе WhatsApp. Впоследствии представители WhatsApp категорически заявили, что отмеченная Guardian уязвимость не является бэкдором. «Является ли эта особенность WhatsApp бэкдором или нет, вопрос неоднозначный; заявления о бэкдоре опровергают даже разработчики Signal», - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности». – Но в целом этот пример - лишнее доказательство тому, как важно для самих пользователей не полагаться на «честное слово» разработчиков и проверять все, что связано с настройками безопасности, самостоятельно, насколько это вообще возможно. Facebook выкупил WhatsApp в 2014 г. за $22 млрд. В августе 2015 г. политика безопасности личных данных была изменена, и Facebook начал комбинировать данные о пользователях WhatsApp и Facebook (в том числе, телефонные номера и статистику использования приложения) в рекламных целях и для дальнейшего совершенствования. Под давлением европейской правозащитной группы Article 29 Working Party Facebook отказался использовать эти комбинированные данные в рекламных целях. Впоследствии Еврокомиссия возбудила дело против Facebook за подачу регуляторам «вводящих в заблуждение» сведений в период, предшествовавший покупке WhatsApp. Еще задолго до покупки WhatsApp критиковали за слабый алгоритм генерации пароля, отсутствие шифрование и прочие проблемы с безопасностью.
позволяющая посторонним перехватывать и читать чужую переписку Более того, не доставленные сообщения отправителя перешифровываются с помощью новых ключей, и отправляются повторно. Это перешифровывание и повторная отправка сообщений - как минимум, в теории - позволяет сотрудникам WhatsApp перехватывать и читать пользовательские сообщения. Получатель сообщения вообще не узнает ничего об изменениях в шифровании, в то время как отправитель получит уведомление только в том случае, если в настройках шифрования указал обязательную отправку таких уведомлений, и только в случае повторной отправки сообщений. Проблему обнаружил Тобиас Бельтер (Tobias Boelter), эксперт по криптографии и информационной безопасности в Университете штата Калифорния. По его утверждению, он уведомил Facebook об уязвимости в апреле 2016 г., однако ему ответили, что проблемы не существует: так, дескать, WhatsApp и должен работать. Интересно, что в самом Signal этой уязвимости нет, автоматическая повторная отправка сообщений с новыми ключами шифрования там не предусматривается. «Кто-то может сказать, что уязвимость можно использовать исключительно для просмотра отдельных сообщений, а не всего разговора. Однако это не так, учитывая, что сервер WhatsApp может просто перенаправлять сообщения без отправки уведомлений о доставке сообщений... чего пользователи могут и не заметить. Благодаря уязвимости, связанной с повторной отправкой сообщений, сервер WhatsApp может получить весь лог разговора, а не только одно сообщение», - утверждает Бельтер. Слово подозреваемого Представители WhatsApp заявили, что повторная отправка сообщений была реализована, поскольку «во многих регионах мира люди часто меняют устройства и SIM-карты», и что в таких ситуациях WhatsApp заботится о том, чтобы сообщения были доставлены адресату и не терялись. «Сегодня более миллиарда людей используют WhatsApp, потому что это простая, быстрая, надежная и безопасная разработка. Мы всегда верили в то, что общение людей должно быть защищенным и приватным», - заявили The Guardian в пресс-службе WhatsApp. Впоследствии представители WhatsApp категорически заявили, что отмеченная Guardian уязвимость не является бэкдором. «Является ли эта особенность WhatsApp бэкдором или нет, вопрос неоднозначный; заявления о бэкдоре опровергают даже разработчики Signal», - говорит Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности». – Но в целом этот пример - лишнее доказательство тому, как важно для самих пользователей не полагаться на «честное слово» разработчиков и проверять все, что связано с настройками безопасности, самостоятельно, насколько это вообще возможно. Facebook выкупил WhatsApp в 2014 г. за $22 млрд. В августе 2015 г. политика безопасности личных данных была изменена, и Facebook начал комбинировать данные о пользователях WhatsApp и Facebook (в том числе, телефонные номера и статистику использования приложения) в рекламных целях и для дальнейшего совершенствования. Под давлением европейской правозащитной группы Article 29 Working Party Facebook отказался использовать эти комбинированные данные в рекламных целях. Впоследствии Еврокомиссия возбудила дело против Facebook за подачу регуляторам «вводящих в заблуждение» сведений в период, предшествовавший покупке WhatsApp. Еще задолго до покупки WhatsApp критиковали за слабый алгоритм генерации пароля, отсутствие шифрование и прочие проблемы с безопасностью.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.