Специалист из Калифорнийского университета в Беркли обнаружил в мессенджере WhatsApp уязвимость, позволяющую перехватывать сообщения несмотря на end-to-end шифрование сервиса. Об этом сообщает The Guardian.
Шифрование в WhatsApp достигается за счет генерации уникальных ключей, доступных только отправителю и получателю сообщений. В компании Facebook, которая владеет мессенджером, заявляют, что эта система не позволяет читать переписку пользователей даже сотрудникам самого WhatsApp.
По словам исследователя в сфере шифрования данных Тобиаса Болтера (Tobias Boelter), несмотря на эти заявления в сервисе есть уязвимость, позволяющая генерировать новые ключи для сообщений, отправленных пользователю в офлайне. В результате отправитель сообщения заново шифрует сообщения, помеченные как недоставленные, и отправляет получателю.
Лазейка реализована таким образом, что получатель сообщения не узнает о перешифровке, а отправитель получает уведомление о подозрительной активности только если у него включена соответствующая опция в настройках. По данным Болтера, это позволяет сотрудникам WhatsApp перехватывать и читать сообщения пользователей.
«Если правительство запросит у WhatsApp доступ к переписке пользователей, то сервис легко может его предоставить из-за подмены ключа», – отметил Болтер в разговоре с изданием.
Исследователь также добавил, что уязвимость не распространяется на всю технологию Signal от компании Open Whisper Systems, которая лежит в основе шифрования WhatsApp. По словам Болтера, в оригинальной версии Signal предотвращает доставку сообщения с подмененным ключом и уведомляет об этом пользователей.
Болтер также рассказал, что представил данные об уязвимости в Facebook в апреле 2016 года, однако компания уже знала о ней и называла «ожидаемой». По данным издания, уязвимость до сих пор функционирует.Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 Как стать идеальным кандидатом при поиске работы?
- 2 67% россиян сталкивались с попытками мошенников украсть их аккаунты
- 3 Face ID нового времени: как работают алгоритмы распознавания лиц и можно ли их обмануть
- 4 Как заставить кибермошенника плакать? Соблюдайте цифровую гигиену при работе с корпоративной почтой
- 5 Как среднему бизнесу защищаться от новейших киберугроз
ВОЗМОЖНОСТИ
25 апреля 2024
26 апреля 2024
29 апреля 2024