Найден способ читать секретные чаты в любимом мессенджере Сноудена и в WhatsApp
12 янв 2018 11:40 #65122
от ICT
Компрометация WhatsApp и Signal Закрытые групповые чаты в мессенджерах со сквозным шифрованием оказались уязвимыми для подслушки, - таковы результаты исследований, которые эксперты Рурского университета в Бохуме (Германия) представили на конференции Real World Crypto в Швейцарии. Серьезная уязвимость присутствует в популярном мессенджере WhatsApp, аналогичные, но менее серьезные проблемы выявлены также в Signal и Threema. В 2015 г. бывший системный администратор Агентства национальной безопасности (АНБ) США и Центрального разведывательного управления Эдвард Сноуден (Edward Snowden)
заявил
, что ежедневно пользуется приложением Signal (очевидно, для связи с журналистами). «Это хороший мессенджер. Я знаю, как он работает, — заявил Сноуден. — Он не защищает ваши метаданные, но он достаточно хорошо защищает ваш контент от перехвата». Как выясняется, любой, у кого есть контроль над серверами WhatsApp, может незаметно добавлять в закрытые группы новых участников. Добавленные участники могут следить за диалогом без каких-либо разрешений со стороны администратора. Аналогичные, но куда менее серьезные уязвимости также выявлены в мессенджерах Signal и Threema. «Конфиденциальность группового чата нарушается, как только незваный гость получает доступ ко всем новым сообщениям и может их читать», - заявил Wired Пауль Реслер (Paul Roesler), представитель команды исследователей. - «Если предполагается сквозное шифрование и для групп, и для индивидуальных диалогов, значит должна существовать защита от добавления новых членов. Если этого нет, то ценность шифрования крайне низка». http://filearchive.cnews.ru/img/news/2018/01/12/signal600.jpg"> По мнению немецких исследователей, сквозное шифрование
в защищенных мессенджерах не спасает от прослушки Исследователи указывают, что, хотя в групповые чаты может добавлять только администратор, WhatsApp не использует никаких механизмов авторизации, которые нельзя подделать со стороны сервера. То есть, сервер может добавлять новых участников в группу без содействия со стороны администратора, и смартфон каждого участника группового чата автоматически делится секретными ключами со всеми остальными, предоставляя им доступ ко всем дальнейшим (и только) сообщениям. И хотя при добавлении новых участников, всем рассылается уведомление об этом, нехитрый трюк может позволить злоумышленнику отсрочить свое выявление. Например, он, при наличии контроля над сервером, может избирательно блокировать доставку любых сообщений в группе или рассылать отдельным администраторам разные сообщения, так что каждому администратору покажется, что злоумышленника пригласил кто-то другой. В конечном счете, он может блокировать даже попытки его удалить из группы. Со своей стороны, представители WhatsApp заявили, что полностью секретно добавить кого-либо в закрытый чат невозможно, и что рано или поздно чужак будет обнаружен. Весь вопрос, впрочем, как скоро это произойдет. Что касается захвата контроля над серверами, то взломать их весьма непросто. Однако вполне допустим сценарий, при котором представители властей заставляют работников WhatsApp выдать им ключи доступа к серверам. Signal и Threema: менее серьезные, но, тем не менее, небезопасные баги Исследователи также отметили, что похожее слабое место есть и в Signal: там тоже можно добавить постороннего в закрытый чат при наличии контроля над сервером, но острота проблемы снижается тем, что злоумышленнику потребуется еще и идентификатор Group ID. Этот идентификатор практически невозможно угадать или получить иначе как из смартфона кого-либо из пользователей чата - а в этом случае чат и так будет скомпрометирован. Тем не менее, разработчики Signal - компания Open Whisper Systems - уже заявили, что перестраивают принципы работы Signal, чтобы избежать минимальной возможности компрометации. Что касается Threema, то угроза выявленных в ней уязвимостей ограничивается возможностью воспроизводить старые сообщения - при наличии контроля над сервером - или возвращать в групповые чаты удаленных оттуда пользователей. Этот баг разработчики Threema уже исправили.[img]http://filearchive.cnews.ru/img/news/2018/01/12/signal600.jpg"> По мнению немецких исследователей, сквозное шифрование
в защищенных мессенджерах не спасает от прослушки Исследователи указывают, что, хотя в групповые чаты может добавлять только администратор, WhatsApp не использует никаких механизмов авторизации, которые нельзя подделать со стороны сервера. То есть, сервер может добавлять новых участников в группу без содействия со стороны администратора, и смартфон каждого участника группового чата автоматически делится секретными ключами со всеми остальными, предоставляя им доступ ко всем дальнейшим (и только) сообщениям. И хотя при добавлении новых участников, всем рассылается уведомление об этом, нехитрый трюк может позволить злоумышленнику отсрочить свое выявление. Например, он, при наличии контроля над сервером, может избирательно блокировать доставку любых сообщений в группе или рассылать отдельным администраторам разные сообщения, так что каждому администратору покажется, что злоумышленника пригласил кто-то другой. В конечном счете, он может блокировать даже попытки его удалить из группы. Со своей стороны, представители WhatsApp заявили, что полностью секретно добавить кого-либо в закрытый чат невозможно, и что рано или поздно чужак будет обнаружен. Весь вопрос, впрочем, как скоро это произойдет. Что касается захвата контроля над серверами, то взломать их весьма непросто. Однако вполне допустим сценарий, при котором представители властей заставляют работников WhatsApp выдать им ключи доступа к серверам. Signal и Threema: менее серьезные, но, тем не менее, небезопасные баги Исследователи также отметили, что похожее слабое место есть и в Signal: там тоже можно добавить постороннего в закрытый чат при наличии контроля над сервером, но острота проблемы снижается тем, что злоумышленнику потребуется еще и идентификатор Group ID. Этот идентификатор практически невозможно угадать или получить иначе как из смартфона кого-либо из пользователей чата - а в этом случае чат и так будет скомпрометирован. Тем не менее, разработчики Signal - компания Open Whisper Systems - уже заявили, что перестраивают принципы работы Signal, чтобы избежать минимальной возможности компрометации. Что касается Threema, то угроза выявленных в ней уязвимостей ограничивается возможностью воспроизводить старые сообщения - при наличии контроля над сервером - или возвращать в групповые чаты удаленных оттуда пользователей. Этот баг разработчики Threema уже исправили.
в защищенных мессенджерах не спасает от прослушки Исследователи указывают, что, хотя в групповые чаты может добавлять только администратор, WhatsApp не использует никаких механизмов авторизации, которые нельзя подделать со стороны сервера. То есть, сервер может добавлять новых участников в группу без содействия со стороны администратора, и смартфон каждого участника группового чата автоматически делится секретными ключами со всеми остальными, предоставляя им доступ ко всем дальнейшим (и только) сообщениям. И хотя при добавлении новых участников, всем рассылается уведомление об этом, нехитрый трюк может позволить злоумышленнику отсрочить свое выявление. Например, он, при наличии контроля над сервером, может избирательно блокировать доставку любых сообщений в группе или рассылать отдельным администраторам разные сообщения, так что каждому администратору покажется, что злоумышленника пригласил кто-то другой. В конечном счете, он может блокировать даже попытки его удалить из группы. Со своей стороны, представители WhatsApp заявили, что полностью секретно добавить кого-либо в закрытый чат невозможно, и что рано или поздно чужак будет обнаружен. Весь вопрос, впрочем, как скоро это произойдет. Что касается захвата контроля над серверами, то взломать их весьма непросто. Однако вполне допустим сценарий, при котором представители властей заставляют работников WhatsApp выдать им ключи доступа к серверам. Signal и Threema: менее серьезные, но, тем не менее, небезопасные баги Исследователи также отметили, что похожее слабое место есть и в Signal: там тоже можно добавить постороннего в закрытый чат при наличии контроля над сервером, но острота проблемы снижается тем, что злоумышленнику потребуется еще и идентификатор Group ID. Этот идентификатор практически невозможно угадать или получить иначе как из смартфона кого-либо из пользователей чата - а в этом случае чат и так будет скомпрометирован. Тем не менее, разработчики Signal - компания Open Whisper Systems - уже заявили, что перестраивают принципы работы Signal, чтобы избежать минимальной возможности компрометации. Что касается Threema, то угроза выявленных в ней уязвимостей ограничивается возможностью воспроизводить старые сообщения - при наличии контроля над сервером - или возвращать в групповые чаты удаленных оттуда пользователей. Этот баг разработчики Threema уже исправили.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Найден способ включать камеру и читать чужую переписку в WhatsApp | 26.13 | Вторник, 14 мая 2019 |
Найден примитивный, но очень действенный способ читать данные с украденных ноутбуков | 20.36 | Четверг, 10 января 2019 |
Найден способ перехватывать чужие сообщения в WhatsApp | 18.93 | Понедельник, 16 января 2017 |
Найден способ изменять чужие сообщения в WhatsApp. Видео | 18.73 | Пятница, 10 августа 2018 |
Найден новый способ кражи переписки из WhatsApp, Telegram и Gmail | 18.53 | Понедельник, 15 августа 2016 |
«Дыра» в WhatsApp для iPhone позволяет читать кому угодно читать чужие сообщения | 16.93 | Четверг, 21 февраля 2019 |
В Facebook Messenger появятся секретные чаты | 16.89 | Пятница, 08 июля 2016 |
В Facebook Messenger появились секретные чаты | 16.89 | Среда, 05 октября 2016 |
В Skype появились секретные чаты как у Telegram | 16.89 | Вторник, 21 августа 2018 |
В российском мессенджере TamTam появились публичные чаты | 16.77 | Вторник, 01 августа 2017 |