Исследователям удалось проникнуть в защищенные группы WhatsApp

В WhatsApp нашли очередную уязвимость: контролируя один из серверов приложения, можно заслать "шпиона" в зашифрованный групповой чат. Рядовому пользователю это вряд ли удасться сделать, а вот администрации сервиса или спецслужбам — вполне.

Германские криптографы нашли способ незаметно проникнуть в защищенные сквозным шифрованием групповые чаты мессенджера WhatsApp. Как сообщает Wired, о методе обнаружившие его исследователи рассказали на прошедшей в Швейцарии конференции по кибербезопасности Real World Crypto. Рядовому пользователю это вряд ли удасться сделать, а вот администрации сервиса или спецслужбам — вполне.

Как выяснилось, добавить новых пользователей в защищенную шифрованием группу можно, даже не обладая правами администратора. Обязательное требование для этого — контроль над одним из серверов WhatsApp. Как только "шпион" добавлен в чат, смартфоны других участников беседы автоматически делятся с ним секретными ключами шифрования. С этого момента он получает доступ ко всем новым сообщениям, но не к прошлой переписке.

В опубликованной по результатам работы статье исследователи рекомендуют тем пользователям, которые стремятся к абсолютной приватности, использовать защищенное приложение Signal (его достоинства ранее превозносил, например, Эдвард Сноуден). Если же использование WhatsApp неизбежно, следует ограничиться диалогами "один-на-один".

Впрочем, рядовым законопослушным пользователям вряд ли стоит беспокоиться из-за описанной уязвимости. К серверам WhatsApp могут иметь доступ только сотрудники сервиса, правоохранительные органы и спецслужбы, а также — чисто гипотетически — высококлассные хакеры.

Главный директор Facebook (запрещена в РФ) (американская соцсеть владеет WhatsApp) по безопасности Алекс Стамос не согласился с выводами исследователей. По его словам, незаметно следить за перепиской группе не получится — при добавлении нового участника все ее члены получат соответствующее уведомление. По словам Стамоса, теоретически можно было бы устранить эту "уязвимость", переработав архитектуру сервиса, однако это бы усложнило его использование.