Guardian: Учёные нашли в WhatsApp уязвимость, позволяющую перехватывать зашифрованные сообщения Статьи редакции
Учёный из Калифорнийского университета Тобиас Болтер (Tobias Boelter) рассказал изданию Guardian, что обнаружил уязвимость в WhatsApp. По его словам, в мессенджере существует лазейка, которая позволяет «читать и перехватывать» сообщения пользователей с помощью изменения ключей шифрования.
Учёные обнаружили лазейку во время изучения системы оконечного (end-to-end) шифрования, внедрённого в мессенджер в апреле 2016 года. Каждому пользователю присваивается собственный уникальный ключ шифрования, который доступен только ему и помогает защитить переписку.
При этом представители WhatsApp заявляли, что все отправленные звонки, сообщения и фотографии пользователей не смогут увидеть даже сотрудники компании.
Однако Болтер подчеркнул, что WhatsApp имеет доступ к переписке. У компании есть возможность генерировать новые ключи шифрования для пользователей, находящихся в офлайне. В итоге мессенджер снова шифрует все сообщения и автоматически отправляет пользователю с новым ключом сообщения, не помеченные как «доставленные».
Как заметил специалист, отправитель практически ничего не замечает: он может узнать о повторном шифровании только в том случае, если включил в настройках уведомления о подозрительных действиях с ключами шифрования.
По словам учёного, если правительство попросит WhatsApp раскрыть переписку того или иного пользователя, компания сможет «эффективно предоставить доступ» с помощью изменения ключей. Он подчеркнул, что мессенджер может перехватывать не отдельные сообщения, а весь разговор полностью.
Болтер отметил, что сообщал компании Facebook об уязвимости ещё в апреле 2016 года. Тогда ему ответили, что знают о проблеме, но это «запланированное поведение», над которым они пока не собираются работать. По информации Guardian, через полгода после жалобы уязвимость до сих пор не устранена.
В пресс-службе WhatsApp объяснили «лазейку» тем, что пользователи часто меняют телефоны и SIM-карты. По словам компании, ключи шифрования меняются именно по этой причине, так как в компании не хотят, чтобы сообщения «потерялись в пути».
Также сотрудники Калифорнийского университета протестировали мессенджер Signal, который создавала та же компания, что и алгоритмы шифрования WhatsApp. Эдвард Сноуден называл Signal одним из самых защищённых мессенджеров. По итогам исследования учёные пришли к выводу, что у него подобной уязвимости нет.
Комментарий удален
Комментарий удален
В телеграме, кстати, с приватностью херово весьма. Да, существуют секретные чаты, но пользоваться этой хуйней постоянно весьма неудобно: их постоянно надо пересоздавать. А групповой чат вообще приватным почему-то быть не может. Короче, истинно секьюрные end-to-end зашифрованные чаты там сделаны больше на отъеьись, чем для повседневного использования. А сохранность от посторонних глаз обычных чатов держится на честном слове паши и друзей.
У вазаппа все было правильнее. По-настоящему защищённое соединение для всех чатов. Обидно, что эти пидоры все же бэкдор оставили.
Окружающий кран
У вазаппа все было правильнее. По-настоящему защищённое соединение для всех чатов. Обидно, что эти пидоры все же бэкдор оставили.
То есть все тоже держалось на их честном слове?
их постоянно надо пересоздавать
с чего бы?
Короче, истинно секьюрные end-to-end зашифрованные чаты там сделаны больше на отъеьись, чем для повседневного использования.
Особенности их использования и вытекают ведь из их "истинной секьюрности". Какие варианты-то есть? Хранить сообщения на серваке, а перенос ключа между устройствами возложить на пользователя?
Давно идея в голове просто крутится. У йоты есть бесплатные мессенджеры в роуминге, в числе которых есть телеграм. Так как все соединения шифруются, можно пробросить прокси через секрет чаты, йота ж не видит, че ты там предаёшь, и наслаждаться халявным интернетом за бугром. Но, насколько я понял, ввиду отсутствия опенсорсной реализации взаимодействия с этой штукой, такое провернуть будет весьма непросто.
Так ты цены-то видел? 20 рублей за метр — это явно не для простых смертных. Покупать и переставлять симки для каждой страны — слишком муторно. А более-менее адекватного предложения на мобильный интернет для туристов я вообще не нашёл. Ну, то есть, типа один модем/симка, где был бы адекватный тариф во всех странах в роуминге. Либо плати нереальные деньги российскому ОпСоСу в роуминге, либо покупай симки местных для каждой страны.
Прохожий
А чего туристические симки не юзаешь? Это же очень удобно и недорого. Какой-нибудь Гудлайн, например — 1 ГБ за $19.
Комментарий удален
Очевидный Слава
В телеграме по дефолту и такого-то то шифрования нет, там Паша вместо шифрования, который сам переписку не читает и другим не дает.
Комментарий удален