WhatsApp «разрешил» мошенникам и спецслужбам читать переписку пользователей

[vaysar]

Злоумышленники или спецслужбы могут получить доступ к переписке пользователей WhatsApp, несмотря на якобы надежное шифрование. Это выяснил исследователь из Калифорнийского университета в Беркли Тобиас Бёлтер.

WhatsApp ввел сквозное шифрование сообщений в апреле 2016 года. Это означает, что сообщения зашифровываются и расшифровываются непосредственно на телефоне. Чтобы система работала, приложение создает пользователю ключ для шифрования; такой же есть у каждого собеседника.

В апреле 2016 года, как только WhatsApp ввел сквозное шифрование, Бёлтер обнаружил: приложение без ведома пользователя может сменить ключ шифрования. Обычно ключ меняется, когда человек потерял телефон, сменил номер или надолго ушел в офлайн.

По словам исследователя, эту особенность могут использовать злоумышленники, спецслужбы или сам WhatsApp.

Для пользователей WhatsApp такое поведение сервиса опасно. Злоумышленники могут атаковать сервис, создать новый ключ и получить сообщения вместо адресата. Еще хуже: по запросу спецслужб то же самое может сделать сам WhatsApp. Как утверждает Бёлтер, таким образом можно получить всю переписку, объявив предыдущие сообщения недоставленными.

Бёлтер сообщил об уязвимости в Facebook (соцсеть владеет этим мессенджером) еще в апреле 2016 года. 25 мая из социальной сети ответили, что так и задумано. Бёлтер в ответ написал, что так быть не должно. На это Facebook ответил: «Мы и раньше знали об этом. Пока мы менять ничего не собираемся». Как пишет The Guardian 13 января, ошибка все еще на месте.

В настройках WhatsApp (Настройки → Учетная запись→ Безопасность) можно включить уведомления. Тогда приложение будет уведомлять, когда у собеседника сменился ключ шифрования. Это не защищает от описанной уязвимости: предупреждение появляется, когда сообщения, зашифрованные новым ключом, уже отправлены.

Для шифрования WhatsApp использует протокол Signal. Тот же протокол есть и в одноименном мессенджере, но приложения Signal ведут себя иначе. Когда ключ собеседника меняется, он не отправляет сообщения заново, а выдает предупреждение. По версии Фонда электронных рубежей, Signal — самый безопасный мессенджер среди популярных приложений. Он по умолчанию шифрует все сообщения так, что их не может прочитать никто, кроме адресата.

Напомним, мессенджер WhatsApp добавил новые функции безопасности для обладателей смартфонов iPhone. Подробнее: https://letknow.news/news/whatsapp-razreshil-moshennikam-i-specsluzhbam-chitat-perepisku-polzovateley-20802.html

[PackIsAwesome]

Ну менять протокол шифрования достаточно подло в любом случае. Отрицательно стал относиться к ним, думаю о том, чтобы удалить.
Я просто хочу надежный чат, все мои личные переписки доступны для чтения могут быть, тогда какой смысл ими пользоваться?