Германские криптографы нашли способ незаметно проникнуть в защищенные сквозным шифрованием групповые чаты мессенджера WhatsApp.
О методе обнаружившие его исследователи рассказали на прошедшей в Швейцарии конференции по кибербезопасности Real World Crypto. Рядовому пользователю это вряд ли удасться сделать, а вот администрации сервиса или спецслужбам — вполне.
Как выяснилось, добавить новых пользователей в защищенную шифрованием группу можно, даже не обладая правами администратора. Обязательное требование для этого — контроль над одним из серверов WhatsApp. Как только “шпион” добавлен в чат, смартфоны других участников беседы автоматически делятся с ним секретными ключами шифрования. С этого момента он получает доступ ко всем новым сообщениям, но не к прошлой переписке.
Если же использование WhatsApp неизбежно, следует ограничиться диалогами “один-на-один”. Впрочем, рядовым законопослушным пользователям вряд ли стоит беспокоиться из-за описанной уязвимости. К серверам WhatsApp могут иметь доступ только сотрудники сервиса, правоохранительные органы и спецслужбы, а также — чисто гипотетически — высококлассные хакеры.
Главный директор Facebook (американская соцсеть владеет WhatsApp) по безопасности Алекс Стамос не согласился с выводами исследователей. По его словам, незаметно следить за перепиской в группе не получится — при добавлении нового участника все ее члены получат соответствующее уведомление. По словам Стамоса, теоретически можно было бы устранить эту “уязвимость”, переработав архитектуру сервиса, однако это бы усложнило его использование.