Уязвимость в WhatsApp позволяет добавлять людей в групповые чаты без ведома администраторов

Специалисты из Рурского университета на конференции Real World Crypto рассказали об уязвимости в WhatsApp, Signal и Threema, которая позволяет каждому, кто получит доступ к серверам мессенджеров, включать в групповые чаты новых собеседников.

Как это возможно

WhatsApp не требует аутентификации для приглашения в беседу. Сервер может просто добавить участника, не запрашивая никаких данных, после чего телефоны каждого в чате обменяются с ним секретными ключами. Таким образом «шпион» получит доступ ко всем будущим зашифрованным сообщениям. Однако историю переписки он не увидит.

Реакция Facebook

Опрошенные Wired эксперты утверждают, что если построенная система сводится к безопасности сервера, то все сложные протоколы и end-to-end шифрование ничего не стоят. Алекс Стамос, глава службы безопасности Facebook, которой принадлежит WhatsApp, отреагировал в Twitter:

В комментариях к твиту Стамос заметил, что в групповом чате все собеседники сразу видят, кто добавился в беседу, и новичков легко проверить. Однако рурские специалисты приводят в пример несколько способов этого избежать. С того момента, как незваный собеседник присоединяется к чату, он может избирательно блокировать сообщения и скроет то, которое уведомляет о новом участнике. В чате с несколькими администраторами есть возможность создать иллюзию для каждого из них, будто новичка пригласил его товарищ, так что никто не поднимет тревогу.

Теоретическая угроза

Исследователи уведомили руководство WhatsApp об уязвимости в июле прошлого года. Им ответили, что разработчики решили одну проблему, усложнив процесс дешифровки будущих сообщений «шпиону», уже получившему секретные ключи. Но при этом представители WhatsApp назвали угрозу теоретической и не стали выплачивать вознаграждение за найденную уязвимость. Напомним, что Facebook ведет собственную программу Bug Bounty, по которой компания вознаграждает специалистов по безопасности за нахождение потенциально уязвимых брешей.