Ты, я и хакер: кто читает вашу приватную переписку - Brainum

вторник, 10 июля 2018 г.

Ты, я и хакер: кто читает вашу приватную переписку

 


Несмотря на абонентское или, говоря иначе, сквозное шифрование, ставшее обычным в диалогах популярного мобильного мессенджера WhatsApp, группа немецких криптографов из Рурского университета в Бохуме обнаружила пустячный недостаток в системе его безопасности. Этот недочет может привести к тому, что в приватные чаты, куда теоретически можно попасть лишь по приглашению администратора (создателя чата), способны влезть незваные гости или хакеры.


Больше интересного - в нашем Telegram-канале https://t.me/brainumru


Свою статью "Лучшее — враг хорошего: о сквозной безопасности групповых чатов в Signal, WhatsApp и Threema" (More is Less: On the End-to-End Security of Group Chats in Signal, WhatsApp, and Threema) криптографы зачитали в виде доклада на симпозиуме Real World Crypto Symposium, проходящем в Цюрихе.

Ученые подчеркнули, что администрация WhatsApp не предпринимает необходимых мер по обеспечению безопасности переписки, хотя при этом регулярно сообщает пользователям мессенджера о защите их приватности "сквозным шифрованием". Его принцип состоит в том, что все данные о переписке, включая ее содержание, теоретически остаются на устройствах участвующих в общении пользователей.

Однако сведения хранятся и на специальных серверах, официальный доступ к которым могут получить только силовики на основании определенных законов (в том числе и с разрешения суда) и сама компания-"оператор" чата. А также хакеры, причем для этого им даже не надо "покорять" сам сервер.


В отличие от Signal и Threema, тот, кто контролирует серверы WhatsApp, может с легкостью допустить новых участников в закрытую группу мессенджера, даже не обладая правами администратора (который якобы контролирует доступ к этим приватным беседам).

И это еще не самая скверная новость. Хакерам вовсе не нужно контролировать главные чат-серверы WhatsApp (это и впрямь представляется довольно сложной задачей). Взломщикам достаточно обойти администратора группы, чтобы влезть в любой разговор. Всякий сумевший это проделать будет в состоянии выборочно блокировать видимые сообщения учетных записей и даже пользователей чата.

Однако администрация компании Facebook, которой принадлежит мессенджер WhatsApp, похоже, не слишком беспокоится о потенциальной лазейке в системе своей безопасности. По словам руководства центра безопасности мобильного приложения, все действующие участники чатов получают уведомления о появлении новых собеседников и в любой момент могут прекратить дальнейшее общение. Но на практике пользователь может элементарно не заметить это уведомление или (учитывая, что в WhatsApp можно брать логин-псевдоним) не понять, что пришел посторонний.

Официальный представитель WhatsApp признал факт существования недоработки, пояснив, что проверять подлинность приглашений, по которым в приватные группы приходят новые участники, нереально — в мессенджере отсутствует соответствующий механизм. Более того, отключение этого пробела в системе безопасности, скорее всего, навредит функции Group Invite Link, которая нравится многим пользователям групповых чатов. Похоже, что проблема безопасности связана с этой конкретной опцией.


Тем не менее, Мэтью Грин (Matthew Green) из университета им. Джона Хопкинса назвал реакцию WhatsApp "безмозглой", уподобив ее одной-единственной камере видеонаблюдения, поставленной отпугивать грабителей от незапертого банковского хранилища. Вопрос лишь в том, насколько важной и конфиденциальной информацией обмениваются участники конкретного "закрытого" чата — и, соответственно, в интересе к ней хакеров.

Безопасность WhatsApp неоднократно становилась предметом критического обсуждения. После того как все сообщения, отправляемые с платформы, в 2016 году были полностью зашифрованы, эта популярная бесплатная система мгновенного обмена текстовыми сообщениями подверглась критике со стороны законодателей Великобритании.



Администрация сайта не несёт ответственности за содержание рекламных материалов и информационных статей, которые размещены на страницах сайта, а также за последствия их публикации и использования. Мнение авторов статей, размещённых на наших страницах, могут не совпадать с мнением редакции.
© Copyright 2017 Brainum. Template Designed by Bloggertheme9.