В WhatsApp обнаружилась уязвимость, позволяющая перехватывать зашифрованную переписку пользователей

В апреле прошлого года разработчики принадлежащего социальной сети Facebook мессенджера WhatsApp внедрили в приложение end-to-end шифрование всех сообщений и звонков пользователей, объявив, что получить доступ к содержимому коммуникации могут только сами пользователи. Этот шаг повысил уровень доверия к мессенджеру и стал причиной того, что недавно WhatsApp был признан одним из наиболее защищенных мессенджеров по версии организации Amnesty International. Однако на деле переписка пользователей WhatsApp может быть не столь надежно защищена от чужих глаз. Как сообщил британской газете The Guardian эксперт по криптографии и безопасности Тобиас Болтер из Калифорнийского университета в Беркли, ему удалось обнаружить в работе мессенджера серьезную уязвимость, которая в теории позволяет компании получать доступ к содержимому переписки пользователей и предоставлять ее государственным органам при получении соответствующего запроса. Суть работы алгоритма сквозного шифрования сообщений в WhatsApp состоит в том, что каждому пользователю мессенджера присваивается уникальный ключ шифрования. Собеседники обмениваются этими ключами и в теории расшифровать переданное сообщение может только его получатель при помощи своего ключа. В основе используемой WhatsApp технологии лежит протокол Signal, разработанный компанией Open Whisper Systems. По словам Болтера, на деле ситуация обстоит иначе, поскольку WhatsApp может генерировать новые ключи для пользователей, которые находились офлайн и не получили отправленное сообщение. В этом случае оно будет зашифровано новым ключом и повторно отправлено адресату. Этот процесс происходит автоматически и незаметно для получателя сообщения, в то время как отправитель может узнать о смене ключа только в том случае, если включит показ уведомлений безопасности в настройках аккаунта. Как утверждает Болтер, WhatsApp может получить доступ к переписке пользователя в процессе повторного шифрования и отправки сообщений. "Если WhatsApp получит запрос от госорганов раскрыть переписку пользователя, он сможет получить доступ к ней при помощи смены ключей", – сообщил Болтер The Guardian. При этом он подчеркнул, что алгоритм работы серверов WhatsApp, через которые проходят сообщения, позволяет говорить о возможности перехватить всю переписку, а не отдельные сообщения. Исследователь подчеркнул, что уязвимость не связана с протоколом Signal. Так, возможность подобного перехвата сообщений отсутствует в использующем этот протокол одноименном мессенджере, который ранее рекомендовал использовать бывший сотрудник АНБ Эдвард Сноуден. Если сообщение пользователя Signal не будет доставлено собеседнику, то отправитель получит уведомление о смене ключа, а приложение не будет автоматически отправлять сообщение еще раз. Как утверждает Болтер, он обнаружил уязвимость в WhatsApp практически сразу после запуска полного шифрования в апреле 2016 года и немедленно уведомил об этом Facebook. Однако представители соцсети сообщили, что им известно об этой особенности мессенджера, но это "запланированное поведение", и над решением этого вопроса не ведется активная работа. По данным The Guardian, уязвимость при генерации новых ключей существует по сей день. Представитель WhatsApp сообщил изданию, что мессенджером пользуется свыше миллиарда человек, поскольку он прост, быстр и безопасен, и компания убеждена в том, что коммуникации пользователей должны быть надежно защищены. При этом он отметил, что изменение ключей, которое можно отслеживать, активировав настройку безопасности, обычно связано с отключением смартфона или переустановкой WhatsApp. Поскольку подобное происходит довольно часто разработчики хотят быть уверены, что оправленные сообщения точно дойдут до адресата. Позднее WhatsApp обнародовала еще одно сообщение, в котором подчеркивается, что сервис не дает правительствам доступа к своим системам и намерен бороться, если власти любой страны обратятся за таким доступом. Ссылка на источник