Эксперты из Рурского университета в Бохуме (Германия) обнаружили серьезную уязвимость в популярном мессенджере WhatsApp, которая позволяет проникать в групповые чаты и читать чужую переписку. Об этом сообщает CNews.ru.
Эксперты из Рурского университета в Бохуме (Германия) обнаружили серьезную уязвимость в популярном мессенджере WhatsApp, которая позволяет проникать в групповые чаты и читать чужую переписку. Об этом сообщает CNews.ru.
Как выяснили немецкие специалисты, сквозное шифрование в защищенных мессенджерах не спасает от прослушки, если у злоумышленников есть доступ к управляющим серверам WhatsApp. Хакеры могут незаметно добавлять в закрытые группы новых участников. Добавленные участники могут следить за диалогом без каких-либо разрешений со стороны администратора.
"Если предполагается сквозное шифрование и для групп, и для индивидуальных диалогов, значит, должна существовать защита от добавления новых членов. Если этого нет, то ценность шифрования крайне низка", - заявил Пауль Реслер.
Эксперты предупреждают, что, хотя в групповые чаты может добавлять только администратор, WhatsApp не использует никаких механизмов авторизации, которые нельзя подделать со стороны сервера. То есть сервер может добавлять новых участников в группу без содействия со стороны администратора, и смартфон каждого участника группового чата автоматически делится секретными ключами со всеми остальными, предоставляя им доступ ко всем дальнейшим сообщениям.
"И хотя при добавлении новых участников всем рассылается уведомление об этом, нехитрый трюк может позволить злоумышленнику отсрочить свое выявление. Например, он при наличии контроля над сервером может избирательно блокировать доставку любых сообщений в группе или рассылать отдельным администраторам разные сообщения, так что каждому администратору покажется, что злоумышленника пригласил кто-то другой. В конечном счете он может блокировать даже попытки его удалить из группы", - отмечают криптографисты.
В свою очередь, представители WhatsApp уверяют, что полностью секретно добавить кого-либо в закрытый чат невозможно и что рано или поздно чужак будет обнаружен. Что касается захвата контроля над серверами, то взломать их весьма непросто, говорится в статье.
Издание сообщает, что аналогичные, но менее серьезные проблемы выявлены также в мессенджерах Signal (им пользуется Эдвард Сноуден) и Threema.