События

Уязвимость в WhatsApp позволяет получить доступ к чужой переписке

Уязвимость в WhatsApp позволяет получить доступ к чужой переписке

Исследователь из Калифорнийского университета Тобиас Боултер (Tobias Boelter) обнаружил уязвимость в системе мгновенного обмена сообщениями WhatsApp, позволяющую читать и перехватывать переписку пользователей.

Проблема вызвана тем, что WhatsApp без ведома отправителя и получателя сообщений может генерировать новые ключи для пользователей, находящихся offline. Таким образом сервис заново шифрует и отправляет сообщения, не помеченные как «доставленные».

Как отмечает The Guardian, у получателей нет возможности узнать о смене ключа, тогда как отправители могут получить соответствующее извещение только активировав опцию «Показывать уведомления безопасности» в настройках. Повторное шифрование и переотправка позволяет WhatsApp эффективно перехватывать и читать сообщения пользователей.

Указанная уязвимость не затрагивает используемый в WhatsApp для организации связи протокол Signal. Проблема связана с применяемой в мессенджере особенностью механизма передачи сообщений пользователям, находящимся вне сети.

Для сквозного шифрования сообщений применяются уникальные ключи, которые подтверждены обоими участниками обмена сообщениями. Если получатель изменил свой ключ, находясь в офлайне, механизм доставки на стороне отправителя автоматически перекодирует новым ключом все сообщения, ожидающие оправки. Таким образом отправленные сообщения будут зашифрованы не оригинальным ключом собеседника, а другим ключом, который сгенерирует сервис.

Боултер уведомил WhatsApp об уязвимости в апреле 2016 года, однако в настоящее время проблема еще существует. По мнению эксперта, доступ к переписке пользователей могут получать не только злоумышленники - сам WhatsApp может проделать это по запросу спецслужб. «Если правительственные организации потребуют у WhatsApp предоставить доступ к частным сообщениям, сервис может это сделать, изменив ключи», - отметил Боултер.

Позже руководство WhatsApp выступило с заявлением, согласно которому сервис не предоставляет спецслужбам бэкдоры в своих системах и будет противостоять любому правительственному запросу о создании «лазейки».

Автор: Сергей Куприянов
14.01.2017 (11:07)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2020

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.