В прошлом году в мессенджер WhatsApp добавили шифрование сообщений. Функцию подключили всем автоматически. Разработчики заверили, что алгоритм надежный, конфиденциальность на высоте, и даже у самой компании нет возможности получить доступ к перепискам. Как оказалось, не все так радужно.
Тревогу забил Тобиас Болтер — учёный из университета в Калифорнии. По его словам, компания допустила промашку (ненарочно или специально). Лазейка в алгоритме все же имеется и состоит она в следующем.
У WhatsApp есть возможность повторно генерировать ключи шифрования, когда пользователь находится в офлайн. Как только владелец снова в сети, сообщения, зашифрованные новым ключом, улетают адресату. Путем повторной передачи, WhatsApp может перехватить сообщение. А потом передать его спецслужбам или еще куда.
Что интересно, никто (ни получатель, ни отправитель) даже не догадается о подлоге. Единственной уликой будет лишь уведомление на экране адресанта о замене ключа шифрования, да и то, если такая опция заранее активирована в настройках.
Возможно, так и было предусмотрено в ходе разработки. В WhatsApp знают об этом нюансе, но не спешат исправлять дыру в безопасности. По словам компании, таким образом гарантируется доставка ранее не отправленных сообщений, когда телефон находился вне зоны доступа, SIM-карта была переставлена или приложение переустановлено. Но это, конечно, сути не меняет.
Что делать? Переходить на Telegram, например. Хорошо, что сейчас много мессенджеров на любой цвет, вкус и… безопасность. [TechRadar]
12 комментариев