Guardian: Учёные нашли в WhatsApp уязвимость, позволяющую перехватывать зашифрованные сообщения Статьи редакции
Учёный из Калифорнийского университета Тобиас Болтер (Tobias Boelter) рассказал изданию Guardian, что обнаружил уязвимость в WhatsApp. По его словам, в мессенджере существует лазейка, которая позволяет «читать и перехватывать» сообщения пользователей с помощью изменения ключей шифрования.
Учёные обнаружили лазейку во время изучения системы оконечного (end-to-end) шифрования, внедрённого в мессенджер в апреле 2016 года. Каждому пользователю присваивается собственный уникальный ключ шифрования, который доступен только ему и помогает защитить переписку.
При этом представители WhatsApp заявляли, что все отправленные звонки, сообщения и фотографии пользователей не смогут увидеть даже сотрудники компании.
Однако Болтер подчеркнул, что WhatsApp имеет доступ к переписке. У компании есть возможность генерировать новые ключи шифрования для пользователей, находящихся в офлайне. В итоге мессенджер снова шифрует все сообщения и автоматически отправляет пользователю с новым ключом сообщения, не помеченные как «доставленные».
Как заметил специалист, отправитель практически ничего не замечает: он может узнать о повторном шифровании только в том случае, если включил в настройках уведомления о подозрительных действиях с ключами шифрования.
По словам учёного, если правительство попросит WhatsApp раскрыть переписку того или иного пользователя, компания сможет «эффективно предоставить доступ» с помощью изменения ключей. Он подчеркнул, что мессенджер может перехватывать не отдельные сообщения, а весь разговор полностью.
Болтер отметил, что сообщал компании Facebook об уязвимости ещё в апреле 2016 года. Тогда ему ответили, что знают о проблеме, но это «запланированное поведение», над которым они пока не собираются работать. По информации Guardian, через полгода после жалобы уязвимость до сих пор не устранена.
В пресс-службе WhatsApp объяснили «лазейку» тем, что пользователи часто меняют телефоны и SIM-карты. По словам компании, ключи шифрования меняются именно по этой причине, так как в компании не хотят, чтобы сообщения «потерялись в пути».
Также сотрудники Калифорнийского университета протестировали мессенджер Signal, который создавала та же компания, что и алгоритмы шифрования WhatsApp. Эдвард Сноуден называл Signal одним из самых защищённых мессенджеров. По итогам исследования учёные пришли к выводу, что у него подобной уязвимости нет.
Комментарий удален модератором
У тебя какая-то личная обида на Пашу? Ты в каждом посте о телеграме или о месседжерах слюной брызжешь какое же говно телеграмм.
Комментарий удален модератором
Понял, что не так понял твой фетишь
В телеграме, кстати, с приватностью херово весьма. Да, существуют секретные чаты, но пользоваться этой хуйней постоянно весьма неудобно: их постоянно надо пересоздавать. А групповой чат вообще приватным почему-то быть не может. Короче, истинно секьюрные end-to-end зашифрованные чаты там сделаны больше на отъеьись, чем для повседневного использования. А сохранность от посторонних глаз обычных чатов держится на честном слове паши и друзей.
У вазаппа все было правильнее. По-настоящему защищённое соединение для всех чатов. Обидно, что эти пидоры все же бэкдор оставили.
Комментарий недоступен
По сути да, на честном слове, как и в тг, но концепция была более правильной.
Чаты мне лично приходилось пересоздавать через некоторое время.
А хранение сообщений на сервере вообще не совместимо с использованием end-to-end шифрования.
Комментарий недоступен
То есть, свои секрет чаты нельзя сделать? Я тут вроде API нашёл у них на сайте, или это не то?
https://core.telegram.org/api/end-to-end
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
А можно туннель пробросить транзитом через сервера телеграма, используя эту хрень? Кто-нибудь делал такое?
Комментарий недоступен
Давно идея в голове просто крутится. У йоты есть бесплатные мессенджеры в роуминге, в числе которых есть телеграм. Так как все соединения шифруются, можно пробросить прокси через секрет чаты, йота ж не видит, че ты там предаёшь, и наслаждаться халявным интернетом за бугром. Но, насколько я понял, ввиду отсутствия опенсорсной реализации взаимодействия с этой штукой, такое провернуть будет весьма непросто.
Комментарий недоступен
Так ты цены-то видел? 20 рублей за метр — это явно не для простых смертных. Покупать и переставлять симки для каждой страны — слишком муторно. А более-менее адекватного предложения на мобильный интернет для туристов я вообще не нашёл. Ну, то есть, типа один модем/симка, где был бы адекватный тариф во всех странах в роуминге. Либо плати нереальные деньги российскому ОпСоСу в роуминге, либо покупай симки местных для каждой страны.
Комментарий недоступен
Если я сменю айфон на двухсимочный андроид, то меня перестанут уважать люди...
Комментарий недоступен
Комментарий недоступен
Комментарий удален модератором
А чего туристические симки не юзаешь? Это же очень удобно и недорого. Какой-нибудь Гудлайн, например — 1 ГБ за $19.
Комментарий недоступен
Ничего не понимаю, а секретные чаты в IOS и OS X приложениях - это что?
Комментарий недоступен
На OS X у меня приложение от стороннего разработчика.
Комментарий недоступен
А про что ты пишешь? Я не понимаю
Комментарий недоступен
Блядь, так через что мне общаться?
Комментарий недоступен
Он говорит о том, что отсутствует опенсорсная реализация секрет чатов. А в приложениях с закрытыми исходниками ты хуй узнаешь, как и через что там твои сообщения идут.
Комментарий удален модератором
В телеграме по дефолту и такого-то то шифрования нет, там Паша вместо шифрования, который сам переписку не читает и другим не дает.
О да, детка
Комментарий удален модератором
Неплохо. Февраль уже был. Ждём октябрь.
whatsapp
Оконечное шифрование, а не оконченное.
Комментарий недоступен
спасибо, поправил
Комментарий недоступен
то есть ты эту информацию четыре месяца забыть не мог?
Комментарий недоступен
да ты же поехавший
Комментарий недоступен
Файлик завел для этого? Я вот завел.
Комментарий недоступен
Нужно начать с себя, и рассказывать друзьям и знакомым почему приватность/безопасность это важно.
Сейчас Telegram должен вытеснить WhatsApp.
Был бы спрос, а предложение найдется)
Комментарий недоступен