Свою статью «Лучшее — враг хорошего: о сквозной безопасности групповых чатов в Signal, WhatsApp и Threema» (More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema) криптографы зачитали в виде доклада на симпозиуме Real World Crypto Symposium, проходящем в Цюрихе.
Ученые подчеркнули, что администрация WhatsApp не предпринимает необходимых мер по обеспечению безопасности переписки, хотя при этом регулярно сообщает пользователям мессенджера о защите их приватности «сквозным шифрованием». Его принцип состоит в том, что все данные о переписке, включая ее содержание, теоретически остаются на устройствах участвующих в общении пользователей.
Однако сведения хранятся и на специальных серверах, официальный доступ к которым могут получить только силовики на основании определенных законов (в том числе и с разрешения суда) и сама компания-«оператор» чата. А также хакеры, причем для этого им даже не надо «покорять» сам сервер.
Читайте также: WhatsApp разрешил пользователям следить за друзьями
В отличие от Signal и Threema, тот, кто контролирует серверы WhatsApp, может с легкостью допустить новых участников в закрытую группу мессенджера, даже не обладая правами администратора (который якобы контролирует доступ к этим приватным беседам).
И это еще не самая скверная новость. Хакерам вовсе не нужно контролировать главные чат-серверы WhatsApp (это и впрямь представляется довольно сложной задачей). Взломщикам достаточно обойти администратора группы, чтобы влезть в любой разговор. Всякий сумевший это проделать будет в состоянии выборочно блокировать видимые сообщения учетных записей и даже пользователей чата.
Однако администрация компании Facebook, которой принадлежит мессенджер WhatsApp, похоже, не слишком беспокоится о потенциальной лазейке в системе своей безопасности. По словам руководства центра безопасности мобильного приложения, все действующие участники чатов получают уведомления о появлении новых собеседников и в любой момент могут прекратить дальнейшее общение. Но на практике пользователь может элементарно не заметить это уведомление или (учитывая, что в WhatsApp можно брать логин-псевдоним) не понять, что пришел посторонний.
Читайте по теме: как Apple следит за пользователями своих устройств
Официальный представитель WhatsApp признал факт существования недоработки, пояснив, что проверять подлинность приглашений, по которым в приватные группы приходят новые участники, нереально — в мессенджере отсутствует соответствующий механизм. Более того, отключение этого пробела в системе безопасности, скорее всего, навредит функции Group Invite Link, которая нравится многим пользователям групповых чатов. Похоже, что проблема безопасности связана с этой конкретной опцией.
Тем не менее, Мэтью Грин (Matthew Green) из университета им. Джона Хопкинса назвал реакцию WhatsApp «безмозглой», уподобив ее одной-единственной камере видеонаблюдения, поставленной отпугивать грабителей от незапертого банковского хранилища. Вопрос лишь в том, насколько важной и конфиденциальной информацией обмениваются участники конкретного «закрытого» чата — и, соответственно, в интересе к ней хакеров.
Безопасность WhatsApp неоднократно становилась предметом критического обсуждения. После того как все сообщения, отправляемые с платформы, в 2016 году были полностью зашифрованы, эта популярная бесплатная система мгновенного обмена текстовыми сообщениями подверглась критике со стороны законодателей Великобритании.
Читайте больше:
Удаленная работа: Пучдемон хочет править Каталонией по What’s App
