×
Подпишитесь на наш дайджест и получайте подборку самых интересных материалов сайта за месяц!
«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
16 января 2017 36309

Это не фича, это баг. Уязвимость WhatsApp позволяет читать чужие сообщения

Эксперты по инфобезопасности нашли новую уязвимость в WhatsApp. Согласно исследованию, злоумышленники могут перехватывать и читать любые зашифрованные сообщения.

Функция сквозного шифрования появилась в WhatsApp в апреле 2016 года. С этого момента сообщения шифруются и дешифруются прямо на смартфоне пользователя, а не на удаленном сервере. Мессенджер создает ключ шифрования для получателя и адресата в виде QR-кода. Чтобы подтвердить шифрование, нужно отсканировать код, однако мало кто это делает.

В апреле прошлого года аналитик из Калифорнийского университета (University of California) Тобиас Белтер обнаружил, что приложение может сменить ключ шифрования без ведома пользователя. Обычно код меняется, когда пользователь потерял смартфон или сменил номер. Однако злоумышленники могут использовать эту функцию могут для перехвата сообщений.

Белтер сообщил об уязвимости в Facebook (социальная сеть купила WhatsApp в октябре 2014 года) сразу после ее обнаружения. 25 мая от социальной сети пришел ответ, который неприятно удивил аналитика: «Мы знаем об этой особенности, все так и задумано. Пока мы не планируем ничего менять».

13 января 2017 года The Guardian сообщила, что возможность перехвата зашифрованных до сих пор не устранена.

Рекомендуем изменить настройки WhatsApp (Настройки — Учетная запись — Безопасность), чтобы приложение присылало уведомление о замене ключа шифрования.

К сожалению, это не защитит от описанной выше уязвимости, потому что уведомление приходит после отправки сообщения с новым ключом, однако хотя бы позволит быть в курсе изменений ключей шифрования.

Комментарии

9
Оставьте комментарий!
папортник нокия 18 января 2017 в 21:39 #
а я WhatsAppпом не пользаюсь у меня вайбер2
Антон Тарасов 19 января 2017 в 12:47 #
А у нас Телеграм!
папортник нокия 25 января 2017 в 09:50 #
У кого как, у кого то вайбер или телиграм или вотсап и т.д. Но они все уезвимы хакерам.Ув.Антон Тарасов 16
Антон Тарасов 25 января 2017 в 11:52 #
Нет ничего неуязвимого, однако антивирус заметно сокращает риски 7
Дмитрий Малахов 1 февраля 2017 в 20:16 #
Ну и сам себе злобный буратино )
Виктор Беляев 1 февраля 2017 в 14:40 #
Кому нужна эта секретность? Ну, допустим, кому-то нужна, но ведь не всем. Ну, зачем мне вводить надежный код из 8 знаков вперемежку букв прописных и строчных и цифр?Я полагаю это надо только преступникам, замышляющим что-то. Но их же, надеюсь меньшинство...
Антон Тарасов 2 февраля 2017 в 11:32 #
В данном случае речь идет не о сложности пароля, а о незаметной подмене ключей шифрования, которые не позволяют перехватить данные во время пересылки с одного устройства на другое.

Кстати, рекомендуем гайд по созданию сложных паролей https://club.esetnod32.ru/articles/analitika/qwerty-or-12345/

Виктор Беляев 2 февраля 2017 в 12:10 #
Меня не поняли.  Я имел ввиду, зачем сложности тому, кому они не нужны: как было хорошо в 90-х-компьютеры простые, дешевые, хакеров еще мало, пароль можно было самому придумывать без ограничений, у меня в почте, например всего 4 простых цифры, мне нечего скрывать,  если кому-то надо узнать мои тайны-он будет разочарован:их нет. Комп. работал быстро, хоть и был простейший. Нет, теперь навороченные компьютеры, офигенно емкие программы, что старый комп по ним замается работать, а сколько стоят!!? Зачем все это? Я понимаю так: что б не даром получать зарплату тем, кто все это создает, или, что б им не оказаться без работы, вот они и создают то, что людям не надо. Ну, пусть бы они работали на правительство там, предпринимателей, у которых могут быть секреты и т.д. но зачем это всем поголовно, простым пользователям, которым надо-то узнать новости, с почтой позаниматься, ну,узнать что-то в интернете - вот и все...  Зачем из нас делать рабов все усложняющейся компьютерной техники?
Adzoku Moty 17 февраля 2017 в 15:28 #
Да, вчем то вы правы. Вычилительные системы и сервисы ( программы) стали сложнее. Почему, отчтасти от доступности коммуникаций. И дело не в програмистах. Это эволюционный механизм. Мы - общество,  вынужденно пришли к этому. Как от товаро - обменной системы к денежной, как от наличной к безналичной, как от поселений к городам. Чем выше уроверь и скорость коммуниукаций тем выше сложность, чем выше доступность - тем выше требования безопастности.
И улыбайтесь:
Потому что, Мы огромная армия бесплатных тестировщиков.
Увы.  
Лицензионная политика гигантов всё грустнее.