Прошло два года с тех пор, как WhatsApp добавил сквозное шифрование для всех своих разговоров. Хотя это повышает безопасность и конфиденциальность наших чатов, ошибка безопасности что позволяет получить доступ к частным группам в обход шифрования.
Немецкие криптографы обнаружили брешь в безопасности в WhatsApp
Главный фактор, ведущий к созданию сквозное шифрование отвечает на вопрос о конфиденциальности: сообщения должны быть прочитаны только отправителем и получателем. В тот момент, когда сообщение достигает или проходит через другого человека или сервер, фильтрация не удалась. И это то, что группа немецких криптографов обнаружила во время конференции по безопасности в Швейцарии.
Целью этой группы было найти недостатки безопасности в популярных приложениях для обмена сообщениями. в Сигнальные чаты y Threema они обнаружили незначительные сбои, но в WhatsApp они обнаружили более тревожные сбои в групповых разговорах. Главный из них заключается в том, что если человек управляет сервером WhatsAppВы можете добавить кого угодно, если хотите, даже если у вас нет прав администратора.
Этот сбой на сервере противоречит тому, что должно означать сквозное шифрование. Даже если серверы были скомпрометированы, разговоры должны оставаться в безопасности. После этого сбоя любой может войти, чтобы увидеть их, если он возьмет на себя управление сервером.
Что такое нарушение безопасности?
По мнению группы исследователей, причина почему возможен сбой из-за довольно простой ошибки. Хотя только администраторы имеют право добавлять новых участников, WhatsApp не предоставляет никаких методов аутентификация. Следовательно, на сервере нет механизма, предотвращающего этот сбой. Со своей стороны, пользователи увидят сообщение о том, что в группу был добавлен новый участник, но поскольку только администратор знает, сделали они это или нет, это зависит от внимательности этого человека.
Опасность возрастает с учетом того, что, если они приняли управление сервером, они могут выбирать, кто какое сообщение видел, обманывая людей и избегая обнаружения. Даже с несколькими администраторами вы можете заставить поверить, что вас пригласил кто-то другой.
Со своей стороны, WhatsApp ответил на критику. Они заверяют, что в будущем они намерены включать приглашение по URL-адресу и что принятие мер против ошибки, обнаруженной немецкой командой, нарушит эту функцию. Кроме того, они считают маловероятным, что кто-либо заметит, что в группу был добавлен нежелательный человек, и что появившегося уведомления о новом добавлении будет достаточно.
Как говорит один из первооткрывателей этой ошибки, это все равно что сказать, что никто не собирается грабить открытую дверь банка, потому что там есть камера слежения. Ответ от WhatsApp кажется довольно легковерным и не должен успокаивать пользователей.
