Guardian: Учёные нашли в WhatsApp уязвимость, позволяющую перехватывать зашифрованные сообщения
Учёный из Калифорнийского университета Тобиас Болтер (Tobias Boelter) рассказал изданию Guardian, что обнаружил уязвимость в WhatsApp. По его словам, в мессенджере существует лазейка, которая позволяет «читать и перехватывать» сообщения пользователей с помощью изменения ключей шифрования.
Учёные обнаружили лазейку во время изучения системы оконечного (end-to-end) шифрования, внедрённого в мессенджер в апреле 2016 года. Каждому пользователю присваивается собственный уникальный ключ шифрования, который доступен только ему и помогает защитить переписку.
При этом представители WhatsApp заявляли, что все отправленные звонки, сообщения и фотографии пользователей не смогут увидеть даже сотрудники компании.
Однако Болтер подчеркнул, что WhatsApp имеет доступ к переписке. У компании есть возможность генерировать новые ключи шифрования для пользователей, находящихся в офлайне. В итоге мессенджер снова шифрует все сообщения и автоматически отправляет пользователю с новым ключом сообщения, не помеченные как «доставленные».
Как заметил специалист, отправитель практически ничего не замечает: он может узнать о повторном шифровании только в том случае, если включил в настройках уведомления о подозрительных действиях с ключами шифрования.
По словам учёного, если правительство попросит WhatsApp раскрыть переписку того или иного пользователя, компания сможет «эффективно предоставить доступ» с помощью изменения ключей. Он подчеркнул, что мессенджер может перехватывать не отдельные сообщения, а весь разговор полностью.
Болтер отметил, что сообщал компании Facebook об уязвимости ещё в апреле 2016 года. Тогда ему ответили, что знают о проблеме, но это «запланированное поведение», над которым они пока не собираются работать. По информации Guardian, через полгода после жалобы уязвимость до сих пор не устранена.
В пресс-службе WhatsApp объяснили «лазейку» тем, что пользователи часто меняют телефоны и SIM-карты. По словам компании, ключи шифрования меняются именно по этой причине, так как в компании не хотят, чтобы сообщения «потерялись в пути».
Также сотрудники Калифорнийского университета протестировали мессенджер Signal, который создавала та же компания, что и алгоритмы шифрования WhatsApp. Эдвард Сноуден называл Signal одним из самых защищённых мессенджеров. По итогам исследования учёные пришли к выводу, что у него подобной уязвимости нет.