Ты, я и хакер: кто читает вашу приватную переписку

Несмотря на абонентское или, говоря иначе, сквозное шифрование, ставшее обычным в диалогах популярного мобильного мессенджера WhatsApp, группа немецких криптографов из Рурского университета в Бохуме обнаружила пустячный недостаток в системе его безопасности. Этот недочет может привести к тому, что в приватные чаты, куда теоретически можно попасть лишь по приглашению администратора (создателя чата), способны влезть незваные гости или хакеры.

Свою статью "Лучшее — враг хорошего: о сквозной безопасности групповых чатов в Signal, WhatsApp и Threema" (More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema) криптографы зачитали в виде доклада на симпозиуме Real World Crypto Symposium, проходящем в Цюрихе.

Ученые подчеркнули, что администрация WhatsApp не предпринимает необходимых мер по обеспечению безопасности переписки, хотя при этом регулярно сообщает пользователям мессенджера о защите их приватности "сквозным шифрованием". Его принцип состоит в том, что все данные о переписке, включая ее содержание, теоретически остаются на устройствах участвующих в общении пользователей.

Однако сведения хранятся и на специальных серверах, официальный доступ к которым могут получить только силовики на основании определенных законов (в том числе и с разрешения суда) и сама компания-"оператор" чата. А также хакеры, причем для этого им даже не надо "покорять" сам сервер.

Читайте также: WhatsApp разрешил пользователям следить за друзьями

В отличие от Signal и Threema, тот, кто контролирует серверы WhatsApp, может с легкостью допустить новых участников в закрытую группу мессенджера, даже не обладая правами администратора (который якобы контролирует доступ к этим приватным беседам).

И это еще не самая скверная новость. Хакерам вовсе не нужно контролировать главные чат-серверы WhatsApp (это и впрямь представляется довольно сложной задачей). Взломщикам достаточно обойти администратора группы, чтобы влезть в любой разговор. Всякий сумевший это проделать будет в состоянии выборочно блокировать видимые сообщения учетных записей и даже пользователей чата.

Однако администрация компании Facebook, которой принадлежит мессенджер WhatsApp, похоже, не слишком беспокоится о потенциальной лазейке в системе своей безопасности. По словам руководства центра безопасности мобильного приложения, все действующие участники чатов получают уведомления о появлении новых собеседников и в любой момент могут прекратить дальнейшее общение. Но на практике пользователь может элементарно не заметить это уведомление или (учитывая, что в WhatsApp можно брать логин-псевдоним) не понять, что пришел посторонний.

Читайте по теме: как Apple следит за пользователями своих устройств

Официальный представитель WhatsApp признал факт существования недоработки, пояснив, что проверять подлинность приглашений, по которым в приватные группы приходят новые участники, нереально — в мессенджере отсутствует соответствующий механизм. Более того, отключение этого пробела в системе безопасности, скорее всего, навредит функции Group Invite Link, которая нравится многим пользователям групповых чатов. Похоже, что проблема безопасности связана с этой конкретной опцией.

Тем не менее, Мэтью Грин (Matthew Green) из университета им. Джона Хопкинса назвал реакцию WhatsApp "безмозглой", уподобив ее одной-единственной камере видеонаблюдения, поставленной отпугивать грабителей от незапертого банковского хранилища. Вопрос лишь в том, насколько важной и конфиденциальной информацией обмениваются участники конкретного "закрытого" чата — и, соответственно, в интересе к ней хакеров.

Безопасность WhatsApp неоднократно становилась предметом критического обсуждения. После того как все сообщения, отправляемые с платформы, в 2016 году были полностью зашифрованы, эта популярная бесплатная система мгновенного обмена текстовыми сообщениями подверглась критике со стороны законодателей Великобритании.

Читайте больше:

Удаленная работа: Пучдемон хочет править Каталонией по What's App