Уязвимость в WhatsApp позволяет добавлять людей в групповые чаты без ведома администраторов
Новости
Всякий, у кого есть доступ к серверу мессенджера, может беспрепятственно включать в групповые чаты новых собеседников. Уязвимость проявляется в мессенджерах WhatsApp, Signal и Threema.
900 открытий1К показов
Специалисты из Рурского университета на конференции Real World Crypto рассказали об уязвимости в WhatsApp, Signal и Threema, которая позволяет каждому, кто получит доступ к серверам мессенджеров, включать в групповые чаты новых собеседников.
Как это возможно
WhatsApp не требует аутентификации для приглашения в беседу. Сервер может просто добавить участника, не запрашивая никаких данных, после чего телефоны каждого в чате обменяются с ним секретными ключами. Таким образом «шпион» получит доступ ко всем будущим зашифрованным сообщениям. Однако историю переписки он не увидит.
Реакция Facebook
Опрошенные Wired эксперты утверждают, что если построенная система сводится к безопасности сервера, то все сложные протоколы и end-to-end шифрование ничего не стоят. Алекс Стамос, глава службы безопасности Facebook, которой принадлежит WhatsApp, отреагировал в Twitter:
В комментариях к твиту Стамос заметил, что в групповом чате все собеседники сразу видят, кто добавился в беседу, и новичков легко проверить. Однако рурские специалисты приводят в пример несколько способов этого избежать. С того момента, как незваный собеседник присоединяется к чату, он может избирательно блокировать сообщения и скроет то, которое уведомляет о новом участнике. В чате с несколькими администраторами есть возможность создать иллюзию для каждого из них, будто новичка пригласил его товарищ, так что никто не поднимет тревогу.
Теоретическая угроза
Исследователи уведомили руководство WhatsApp об уязвимости в июле прошлого года. Им ответили, что разработчики решили одну проблему, усложнив процесс дешифровки будущих сообщений «шпиону», уже получившему секретные ключи. Но при этом представители WhatsApp назвали угрозу теоретической и не стали выплачивать вознаграждение за найденную уязвимость. Напомним, что Facebook ведет собственную программу Bug Bounty, по которой компания вознаграждает специалистов по безопасности за нахождение потенциально уязвимых брешей.
900 открытий1К показов