В WhatsApp можно попасть в чужой чат без взлома — просто потому что это WhatsApp

Ваш групповой чат — это не беседа, а open mic с невидимыми зрителями.

Давняя репутация групповых чатов WhatsApp как безопасного пространства, обеспечиваемого сквозным шифрованием, подверглась сомнению в результате нового исследования. Оказалось, что в системе защиты существует пробел, который в определённых ситуациях может обернуться крупной утечкой личных данных.

В ходе анализа, проведённого научными экспертами, были тщательно изучены протоколы, описаны методы шифрования и математически подтверждена устойчивость WhatsApp. В целом, выводы оказались положительными: мессенджер функционирует в соответствии с заявленными характеристиками. Однако, особое беспокойство вызвал тот факт, что в групповых чатах WhatsApp отсутствует криптографическая проверка при добавлении новых участников. Это открывает возможность для сервера приложения самостоятельно включать в чат нежелательных лиц, не давая участникам возможности это предотвратить или проверить подлинность инициатора добавления.

Ситуация осложняется тем, что клиентские приложения не подписывают сообщения об изменении состава группы. Схема добавления нового участника выглядит следующим образом: любой член группы отправляет на сервер неподписанное сообщение с обновлённым списком участников, сервер рассылает уведомление, а клиентские приложения просто отображают изменения, не проверяя, кто именно отправил запрос на добавление. В результате, любой, кто контролирует серверную часть или имеет возможность подменять сообщения, может незаметно внедрить в чат нового участника. Это может быть как сотрудник компании с соответствующими полномочиями, так и злоумышленник извне, например, хакер, получивший доступ к инфраструктуре WhatsApp.

Несмотря на оповещения о новых членах группы, в крупных чатах, насчитывающих сотни участников, такие изменения часто остаются незамеченными. В лучшем случае, пользователи могут заметить новое имя, но не идентифицировать того, кто отправил приглашение.

Данная проблема имеет реальные последствия. Например, в недавнем инциденте в политических кругах США, экс-советник по национальной безопасности Майк Уолтц случайно добавил главного редактора The Atlantic, Джеффри Голдберга, в приватный чат высокопоставленных лиц. Никто не заметил ошибки, и журналист получил доступ к сообщениям о планах военной операции. Примечательно, что это случилось в Signal, где, несмотря на криптографическую защиту, не была проведена идентификация добавленного участника.

Исследователи акцентируют внимание на том, что даже при использовании самых защищенных платформ необходимо проверять подлинность аккаунтов. В Signal есть функция проверки “ключей безопасности” — уникальных кодов, предназначенных для сравнения ключей между пользователями вне мессенджера. Однако, если этот шаг не выполняется, безопасность основана на доверии к имени в чате, что позволяет злоумышленнику создать аккаунт с именем “Алиса” и получить доступ к переписке.

Подходы к групповой безопасности в Signal и WhatsApp существенно различаются. В Signal используется GroupMasterKey – криптографический ключ, который создается администратором группы и недоступен серверу. Этот ключ используется для подписи любых изменений в составе участников. Только после получения действительной подписи участники вносят изменения и обновляют шифрование. Это гарантирует, что только проверенные пользователи могут добавлять новых участников, исключая сервер из процесса.

В отличие от WhatsApp, где подобная система отсутствует, и сервер имеет прямой доступ к информации об участниках групп, предоставляя её внутренним службам или правоохранительным органам по официальному запросу, Signal обеспечивает более высокий уровень конфиденциальности. В Signal даже сервер не обладает информацией о составе конкретных групп.

Исследователи также подчеркивают, что WhatsApp не единственный популярный мессенджер с проблемным управлением группами. Аналогичная уязвимость была выявлена в 2022 году той же командой специалистов в Matrix – платформе с открытым исходным кодом, применяемой в том числе в государственных и корпоративных структурах.

Хотя риск использования данной уязвимости в повседневных переписках невелик, возможность вмешательства в чаты государственных служащих, журналистов, дипломатов или активистов вполне реальна. Присутствие одного незамеченного участника может поставить под угрозу всю дискуссию.

WhatsApp выразил благодарность исследователям за их работу. Представители компании напомнили, что пользователи получают уведомления о добавлении новых участников и могут активировать оповещения о смене ключей безопасности. Компания также заявила о намерении продолжать внедрение дополнительных мер защиты. Однако, отсутствие криптографического контроля над управлением группами оставляет мессенджер уязвимым в ситуациях, когда защита наиболее важна.

Источник — https://360.ru/