Офтоп
Женя Кузьмин

Guardian: Учёные нашли в WhatsApp уязвимость, позволяющую перехватывать зашифрованные сообщения Статьи редакции

Учёный из Калифорнийского университета Тобиас Болтер (Tobias Boelter) рассказал изданию Guardian, что обнаружил уязвимость в WhatsApp. По его словам, в мессенджере существует лазейка, которая позволяет «читать и перехватывать» сообщения пользователей с помощью изменения ключей шифрования.

Учёные обнаружили лазейку во время изучения системы оконечного (end-to-end) шифрования, внедрённого в мессенджер в апреле 2016 года. Каждому пользователю присваивается собственный уникальный ключ шифрования, который доступен только ему и помогает защитить переписку.

При этом представители WhatsApp заявляли, что все отправленные звонки, сообщения и фотографии пользователей не смогут увидеть даже сотрудники компании.

Однако Болтер подчеркнул, что WhatsApp имеет доступ к переписке. У компании есть возможность генерировать новые ключи шифрования для пользователей, находящихся в офлайне. В итоге мессенджер снова шифрует все сообщения и автоматически отправляет пользователю с новым ключом сообщения, не помеченные как «доставленные».

Как заметил специалист, отправитель практически ничего не замечает: он может узнать о повторном шифровании только в том случае, если включил в настройках уведомления о подозрительных действиях с ключами шифрования.

По словам учёного, если правительство попросит WhatsApp раскрыть переписку того или иного пользователя, компания сможет «эффективно предоставить доступ» с помощью изменения ключей. Он подчеркнул, что мессенджер может перехватывать не отдельные сообщения, а весь разговор полностью.

Болтер отметил, что сообщал компании Facebook об уязвимости ещё в апреле 2016 года. Тогда ему ответили, что знают о проблеме, но это «запланированное поведение», над которым они пока не собираются работать. По информации Guardian, через полгода после жалобы уязвимость до сих пор не устранена.

В пресс-службе WhatsApp объяснили «лазейку» тем, что пользователи часто меняют телефоны и SIM-карты. По словам компании, ключи шифрования меняются именно по этой причине, так как в компании не хотят, чтобы сообщения «потерялись в пути».

Также сотрудники Калифорнийского университета протестировали мессенджер Signal, который создавала та же компания, что и алгоритмы шифрования WhatsApp. Эдвард Сноуден называл Signal одним из самых защищённых мессенджеров. По итогам исследования учёные пришли к выводу, что у него подобной уязвимости нет.

{ "author_name": "Женя Кузьмин", "author_type": "editor", "tags": [], "comments": 46, "likes": 46, "favorites": 5, "is_advertisement": false, "subsite_label": "flood", "id": 39798, "is_wide": true, "is_ugc": false, "date": "Fri, 13 Jan 2017 19:18:16 +0300", "is_special": false }
0
46 комментариев
Популярные
По порядку
Написать комментарий...

Комментарий удален

Решающий будильник

Илюхер
2

У тебя какая-то личная обида на Пашу? Ты в каждом посте о телеграме или о месседжерах слюной брызжешь какое же говно телеграмм.

Ответить

Комментарий удален

Решающий

Илюхер
0

Понял, что не так понял твой фетишь

Ответить

Мертвый кубок

Илюхер
1

В телеграме, кстати, с приватностью херово весьма. Да, существуют секретные чаты, но пользоваться этой хуйней постоянно весьма неудобно: их постоянно надо пересоздавать. А групповой чат вообще приватным почему-то быть не может. Короче, истинно секьюрные end-to-end зашифрованные чаты там сделаны больше на отъеьись, чем для повседневного использования. А сохранность от посторонних глаз обычных чатов держится на честном слове паши и друзей.

У вазаппа все было правильнее. По-настоящему защищённое соединение для всех чатов. Обидно, что эти пидоры все же бэкдор оставили.

Ответить

Окружающий кран

Kolyanok
3

У вазаппа все было правильнее. По-настоящему защищённое соединение для всех чатов. Обидно, что эти пидоры все же бэкдор оставили.

То есть все тоже держалось на их честном слове?

их постоянно надо пересоздавать

с чего бы?

Короче, истинно секьюрные end-to-end зашифрованные чаты там сделаны больше на отъеьись, чем для повседневного использования.

Особенности их использования и вытекают ведь из их "истинной секьюрности". Какие варианты-то есть? Хранить сообщения на серваке, а перенос ключа между устройствами возложить на пользователя?

Ответить

Мертвый кубок

Лига
0

По сути да, на честном слове, как и в тг, но концепция была более правильной.

Чаты мне лично приходилось пересоздавать через некоторое время.

А хранение сообщений на сервере вообще не совместимо с использованием end-to-end шифрования.

Ответить

Всемирный клуб

Kolyanok
2

Комментарий удален по просьбе пользователя

Ответить

Мертвый кубок

Kat
0

То есть, свои секрет чаты нельзя сделать? Я тут вроде API нашёл у них на сайте, или это не то?

https://core.telegram.org/api/end-to-end

Ответить

Всемирный клуб

Kolyanok
0

Комментарий удален по просьбе пользователя

Ответить

Всемирный клуб

Kat
0

Комментарий удален по просьбе пользователя

Ответить

Всемирный клуб

Kat
0

Комментарий удален по просьбе пользователя

Ответить

Мертвый кубок

Kat
0

А можно туннель пробросить транзитом через сервера телеграма, используя эту хрень? Кто-нибудь делал такое?

Ответить

Всемирный клуб

Kolyanok
0

Комментарий удален по просьбе пользователя

Ответить

Мертвый

Kat
1

Давно идея в голове просто крутится. У йоты есть бесплатные мессенджеры в роуминге, в числе которых есть телеграм. Так как все соединения шифруются, можно пробросить прокси через секрет чаты, йота ж не видит, че ты там предаёшь, и наслаждаться халявным интернетом за бугром. Но, насколько я понял, ввиду отсутствия опенсорсной реализации взаимодействия с этой штукой, такое провернуть будет весьма непросто.

Ответить

Всемирный

Kolyanok
0

Комментарий удален по просьбе пользователя

Ответить

Мертвый

Kat
0

Так ты цены-то видел? 20 рублей за метр — это явно не для простых смертных. Покупать и переставлять симки для каждой страны — слишком муторно. А более-менее адекватного предложения на мобильный интернет для туристов я вообще не нашёл. Ну, то есть, типа один модем/симка, где был бы адекватный тариф во всех странах в роуминге. Либо плати нереальные деньги российскому ОпСоСу в роуминге, либо покупай симки местных для каждой страны.

Ответить

Всемирный

Kolyanok
0

Комментарий удален по просьбе пользователя

Ответить

Кавказский

Kat
0

Если я сменю айфон на двухсимочный андроид, то меня перестанут уважать люди...

Ответить

Всемирный

DELETED
2

Комментарий удален по просьбе пользователя

Ответить

Всемирный

Kat
0

Комментарий удален по просьбе пользователя

Ответить

Комментарий удален

Прохожий

Kolyanok
0

А чего туристические симки не юзаешь? Это же очень удобно и недорого. Какой-нибудь Гудлайн, например — 1 ГБ за $19.

Ответить

Всемирный

Kat
1

Комментарий удален по просьбе пользователя

Ответить

Кавказский

Kat
0

Ничего не понимаю, а секретные чаты в IOS и OS X приложениях - это что?

Ответить

Всемирный клуб

DELETED
0

Комментарий удален по просьбе пользователя

Ответить

Кавказский

Kat
0

На OS X у меня приложение от стороннего разработчика.

Ответить

Всемирный клуб

DELETED
0

Комментарий удален по просьбе пользователя

Ответить

Кавказский

Kat
0

А про что ты пишешь? Я не понимаю

Ответить

Всемирный

DELETED
1

Комментарий удален по просьбе пользователя

Ответить

Кавказский

Kat
1

Блядь, так через что мне общаться?

Ответить

Всемирный

DELETED
2

Комментарий удален по просьбе пользователя

Ответить

Мертвый

DELETED
1

Он говорит о том, что отсутствует опенсорсная реализация секрет чатов. А в приложениях с закрытыми исходниками ты хуй узнаешь, как и через что там твои сообщения идут.

Ответить

Комментарий удален

Очевидный Слава

Илюхер
0

В телеграме по дефолту и такого-то то шифрования нет, там Паша вместо шифрования, который сам переписку не читает и другим не дает.

Ответить

Теоретический браслет

Илюхер
0

О да, детка

Ответить

Комментарий удален

Передовой Мика

Нурамир
1

Неплохо. Февраль уже был. Ждём октябрь.

Ответить

Обязательный клуб

5

ученые

whatsapp

Ответить

Сталинский блик

3

Оконечное шифрование, а не оконченное.

Ответить

Всемирный клуб

Alex
2

Комментарий удален по просьбе пользователя

Ответить

Понятный ихтиандр

Alex
0

спасибо, поправил

Ответить

Всемирный клуб

0

Комментарий удален по просьбе пользователя

Ответить

Гражданский вентилятор

Kat
1

то есть ты эту информацию четыре месяца забыть не мог?

Ответить

Всемирный клуб

Bad
4

Комментарий удален по просьбе пользователя

Ответить

Гражданский

Kat
1

да ты же поехавший

Ответить

Всемирный клуб

Bad
4

Комментарий удален по просьбе пользователя

Ответить

Либеральный

Kat
1

Файлик завел для этого? Я вот завел.

Ответить

Всемирный клуб

Mad
1

Комментарий удален по просьбе пользователя

Ответить

Чужой инструмент

Kat
0

Нужно начать с себя, и рассказывать друзьям и знакомым почему приватность/безопасность это важно.

Сейчас Telegram должен вытеснить WhatsApp.

Был бы спрос, а предложение найдется)

Ответить

Всемирный клуб

Mikhail
0

Комментарий удален по просьбе пользователя

Ответить
Читать все 46 комментариев
Обсуждаемое
Интернет
«Меня неправильно приравнивать к людям с реальными сроками»: Руслан Усачев об отъезде из России
Блиц-интервью TJ по горячим следам.
TJ
TJ — 10 лет. Пора праздновать!
В такую дату грех не закатить вечеринку из материалов.
Гость TJ
Гости TJ: наши экс-редакторы возвращаются и отвечают на вопросы сообщества
Никита, Вадим, Коля, Оля и Султан приходят в комментарии в честь десятилетия издания.
Популярное за три дня
TJ
TJ — 10 лет. Пора праздновать!
В такую дату грех не закатить вечеринку из материалов.
Истории
«Худшее свидание — это когда я сидел и дописывал текст»: каково работать в TJ — воспоминания создателей и редакторов
Парад ностальгии и архивных фото в честь 10-летия.
Беларусь
МВД Белоруссии предложило признать бело-красно-белый флаг и лозунг «Жыве Беларусь» нацистскими символами
Проект поступил на согласование в КГБ страны.
Комментарии
null