Експерти знайшли вразливість у алгоритмі шифрування даних, який використовується в WhatsApp.

Цікава історія склалась навколо цього месенджеру. У квітні 2016-го розробники WhatsApp відрапортували про те, що тепер в їх сервісі використовується шифрування за принципом end-to-end. Тобто для того, щоб отримати доступ до інформації на сервері, необхідно завантажити її на пристрій користувача і відкрити за допомогою унікального ключа. Це означає, що розкодувати дані без участі користувача неможливо. Таке нововведення було відмічено міжнародною правозахисною організацією Amnesty International, яка в жовтні 2016 року оцінила WhatsApp як найбільш захищений месенджер у світі.

Схоже, що про Signal вони ще не чули, однак мова не про це.

Однак «не все так сталося, як гадалося». Нещодавно професор каліфорнійського університету Tobias Boelter у своєму блозі повідомив, що він знайшов вразливість, яка дозволяє підмінити ключ шифрування у випадку, якщо адресат тривалий час знаходиться у офлайні. На практиці це можливо тоді, коли один користувач відправляє повідомлення іншому, пристрій отримувача знаходиться поза зоною дії мережі або просто вимкнений. Інформація у цей час зберігається на сервері, цим можуть скористатися зловмисники і підмінити ключ.

Зі слів професора, він сповістив розробників про цю вразливість ще у квітні 2016 року, одразу після реалізації функції шифрування end-to-end.

Що робить WhatsApp? Після того, коли висновки професора були опубліковані у відомих виданнях, включаючи The Guardian, розробники заявляють, що «ця інформація недостовірна» і «WhatsApp завжди попереджає, коли є потенційна угроза несанкціонованого доступу». Дійсно, якщо ще раз змоделювати описану ситуацію, то відправник повідомлення отримає сповіщення про те, що ключ був змінений. Однак, по-перше, він повинен заздалегідь активувати цю функцію у параметрах безпеки, а по-друге, побачите це він зможе лише після доставки меседжу іншому користувачу.

Поки події навколо WhatsApp нагадують детектив. Не думаю, що заяви професора якось відобразяться на аудиторії месенджеру. Однак, якщо ви вирішуєте справи державної безпеки, краще зверніть увагу на месенджер Signal. Там вас точно ніхто не прочитає.

Коменти