Служба обмена сообщениями Whatsapp особенно отличилась в 2016 году, когда представила сквозное шифрование для каждого сообщения, отправленного через ее сервис, будь то текст, фото или видео. Стало очевидно, что безопасность является одним из основных приоритетов для компании. Вот почему недавнее обнаружение значительного недостатка в безопасности сервиса стало столь громким. Оказалось, что любой, кто контролирует сервер Whatsapp, может с минимальными усилиями добавлять людей в частную группу, сообщает Wired.
Результаты исследования были представлены в среду на конференции Real World Crypto в Цюрихе. Группа исследователей из Рурского университета проверила несколько приложений для обмена сообщениями на предмет уязвимостей в безопасности. Менее известные приложения Signal и Threema не вызвали никаких серьезных замечаний. Зато Whatsapp оказался далеко не таким надежным, как считалось ранее. В исследовании также участвовали приложения Google Allo и Facebook Messenger.
"Конфиденциальность группы в Whatsapp нарушается, как только приглашенный участник сможет получить доступ к новым сообщениям и прочитать их", - говорит один из соавторов издания Wired Пол Рёслер. Комплексная защита безопасности на самом деле позволяет кому-то из группы просто бросить нового человека в частный чат в любое время, когда захочет. Хотя обычно администратор группы является единственным, кто может пригласить нового человека в частный чат, в настоящее время нет механизма для аутентификации этого приглашения. Как только человек будет приглашен, старые сообщения останутся зашифрованными, но новые будут доступны новому участнику.
Теперь важно отметить пределы этого недостатка безопасности: каждый, кто его эксплуатирует, должен будет контролировать серверы приложений обмена сообщениями. Но если сервер действительно скомпрометирован - это уже очень плохая новость.
В свою очередь WhatsApp прокомментировал ситуацию Wired, что уведомление о подключении будет отправлено всем членам чата, если кто-то новый будет добавлен в группу, поэтому невозможно добавить кого-то инкогнито в частный чат и сохранить его личность в тайне и в дальнейшем, но тот факт, что такая возможность вообще существует, наносит серьезный удар по репутации мессенджера с точки зрения безопасности.
Иван Ковалев
Источник