Немецкие исследователи нашли брешь в безопасности приложения WhatsApp. Дело в том, что технология end-to-end encryption (сквозное шифрование) не предусматривает взаимодействия между сервером и модератором при добавлении нового члена группового чата. Таким образом, каждый, имеющий доступ к серверу, может проникнуть в чат.
В ответ главный директор по безопасности Facebook Алекс Стамос в своем Твиттере указал на следующие моменты:
1. К серверу есть доступ только у сотрудников компании, правительства и спецслужб. Гипотетически на сервер может проникнуть хакер, но для этого у него должна быть очень высокая квалификация.
2. Каждый участник беседы может увидеть уведомление о том, что новый пользователь попал в чат.
3. Новый участник будет отображаться в списке контактов, участвующих в беседе.
4. Если исправлять эту уязвимость, использование приложения станет сложнее.
По мнению исследователей, путем дополнительных манипуляций злоумышленник может сделать так, чтобы сообщение о добавлении нового участника не отображалось. Таким образом хакер сможет оттянуть момент, когда пользователи заметят его присутствие, и успеть собрать больше информации.
Меттью Грин, профессор шифрования из университета Джона Хопкинса, назвал такую уязвимость непростительной:
Если в системе все основано на доверии пользователя серверу, нужно сделать приложение максимально простым и при этом навсегда забыть о сквозном шифровании.
Также менее критические уязвимости были найдены в таких месенджерах, как Signal и Threema.
Напомним, что в октябре была найдена другая уязвимость WhatsApp, касающаяся видимого статуса пользователя.
Источник: wired.com