Написать пост

Уязвимость в WhatsApp позволяет добавлять людей в групповые чаты без ведома администраторов

Аватар Екатерина Никитина

Всякий, у кого есть доступ к серверу мессенджера, может беспрепятственно включать в групповые чаты новых собеседников. Уязвимость проявляется в мессенджерах WhatsApp, Signal и Threema.

Специалисты из Рурского университета на конференции Real World Crypto рассказали об уязвимости в WhatsApp, Signal и Threema, которая позволяет каждому, кто получит доступ к серверам мессенджеров, включать в групповые чаты новых собеседников.

Как это возможно

WhatsApp не требует аутентификации для приглашения в беседу. Сервер может просто добавить участника, не запрашивая никаких данных, после чего телефоны каждого в чате обменяются с ним секретными ключами. Таким образом «шпион» получит доступ ко всем будущим зашифрованным сообщениям. Однако историю переписки он не увидит.

Реакция Facebook

Опрошенные Wired эксперты утверждают, что если построенная система сводится к безопасности сервера, то все сложные протоколы и end-to-end шифрование ничего не стоят. Алекс Стамос, глава службы безопасности Facebook, которой принадлежит WhatsApp, отреагировал в Twitter:

В комментариях к твиту Стамос заметил, что в групповом чате все собеседники сразу видят, кто добавился в беседу, и новичков легко проверить. Однако рурские специалисты приводят в пример несколько способов этого избежать. С того момента, как незваный собеседник присоединяется к чату, он может избирательно блокировать сообщения и скроет то, которое уведомляет о новом участнике. В чате с несколькими администраторами есть возможность создать иллюзию для каждого из них, будто новичка пригласил его товарищ, так что никто не поднимет тревогу.

Теоретическая угроза

Исследователи уведомили руководство WhatsApp об уязвимости в июле прошлого года. Им ответили, что разработчики решили одну проблему, усложнив процесс дешифровки будущих сообщений «шпиону», уже получившему секретные ключи. Но при этом представители WhatsApp назвали угрозу теоретической и не стали выплачивать вознаграждение за найденную уязвимость. Напомним, что Facebook ведет собственную программу Bug Bounty, по которой компания вознаграждает специалистов по безопасности за нахождение потенциально уязвимых брешей.

Следите за новыми постами
Следите за новыми постами по любимым темам
750 открытий751 показов