Исследование: Уязвимости в WhatsApp позволяют хакерам проникать в групповые чаты

Немецкие криптографы из Рурского университета в Бохуме провели исследование и обнаружили в коде WhatsApp уязвимости, позволяющие проникать хакерам в групповые чаты. Результаты своего эксперимента специалисты обнародовали на конференции по кибербезопасности Real World Crypto в Цюрихе. Также были обнаружены бреши в приложениях Threema и Signal.

Что касается мессенджеров Signal и Threema, то их недостатки оказались не такими серьезными. При этом в WhatsApp криптографы выявили значительные ошибки в алгоритме безопасности. По словам специалистов, они позволяют легко добавлять новых пользователей в личные группы, даже без разрешение модератора, который должен контролировать доступ к чату.

Специалисты отмечают, что конфиденциальность нарушается после того, как получивший несанкционированный доступ шпион может читать сообщения фолловеров. Этот недостаток абсолютно нивелирует эффект от сквозного шифрования, поскольку добавление новых членов переписки должно находиться под защитой.

В своем эксперименте криптографы использовали простую ошибку. Оказалось, что действительно, приглашать в чаты в WhatsApp могут только администраторы, однако проблема заключается в том, что мессенджер не проверяет подлинность такого приглашения.

Фактически, сервер может добавить еще одного участника без взаимодействия с администратором, после чего секретные ключи делятся с новым пользователем, предоставляя ему доступ ко всем последующим сообщениям.

К слову WhatsApp больше не поддерживает Windows Phone.