Немецкие исследователи нашли уязвимость в секретных чатах WhatsApp и Signal

12 января 2018 13:31


На проходящей в Швейцарии конференции Real World Crypto специалисты Рурского университета сообщили об уязвимостях в механизмах работы групповых чатов WhatsApp и Signal. Недостатки протоколов позволяют посторонним добавиться и читать такие чаты. При этом наличие сквозного шифрования уже никак не защищает от компрометации мессенджеров. Более серьезная проблема у WhatsApp, но и в Threema и любимом Сноуденом мессенджере Signal также есть уязвимости.

Принцип работы общих чатов Signal или WhatsApp заключается в шифрации сообщений групповым ключом на стороне отправителя перед отправкой в конференцию. Такой ключ есть у каждого участника чата, и он передан всем остальным абонентам, чтобы они могли расшифровывать сообщения. При появлении в конференции нового участника все члены конференции обмениваются новыми групповыми ключами.

 

Real World Crypto

 

Уязвимость WhatsApp заключается в том, что при получении контроля над управляющим сервером можно добавить в конференцию нового участника без пригласительного кода. Этот фиктивный абонент сможет обмениваться сообщениями с любым участником чата и читать все сообщения. Служебные сообщения в чатах WhatsApp не шифруются, что позволяет перехватить идентификатор группы и присоединить нового участника без уведомления действительных членов конференции.

В случае Signal проблема в другом — нет проверки факта участия в конференции пользователя, отправившего служебное сообщение о включении в чат нового участника. Правда использовать эту уязвимость, даже имея физический доступ к серверу нереально, так как как для включения в чат пользователя нужно знать секретный идентификатор конференции, представляющий собой случайно сгенерированное 128 разрядное число.

При несанкционированном включении в чаты нового пользователя, он сможет читать новые сообщения, что компрометирует переписку, хоть она и зашифрованная. Хотя подобные атаки маловероятны из-за необходимости физического доступа и взлома управляющих серверов WhatsApp и Signal, разработчики протоколов обмена в этих мессенджерах намерены внести изменения, исключающие возможность подобных атак. Facebook опубликовала новый протокол секретных групповых чатов ART. Эта технология позволяет выполнить новый обмен ключами для части участников чата, исключив тех, кто находится не в сети или скомпрометирован.

Напомним, ранее Эдвард Сноуден неоднократно подчеркивал, что использует мессенджер Signal, так как знает его принцип работы и считает его защищенным от прослушивания.





Обсудить материал (0)


Предыдущая статья

В США разрабатывают компьютер, который нельзя взломать
Следующая статья

Google сохранил много возможностей отслеживания пользователей Android



В сеть попал отзыв бывшего сотрудника об обстановке в команде Google+

Экс-дизайнер проекта Google+ Морган Кнутсон после закрытия проекта почувствовал себя свободным от моральных обязательств и поделился своим опытом работы. По словам, Кнутсона, моральная обстановка и организация работы в крупнейшей попытке поискового гиганта создать альтернативу Facebook сама по себе обрекала проект на поражение.

Читать далее...

Крупномасштабный взлом Facebook — скомпрометированы 50 миллионов аккаунтов

28 сентября 2018 года социальная сеть Facebook объявила об обнаружении хакерской атаки, в результате которой скомпрометированы данные 50 000 000 пользователей социальной сети и еще 40 миллионов — в хоне риска. С целью предотвращения или минимизации кражи личных данных пользователей администрация крупнейшей социальной сети применила принудительный выход из системы для всех пострадавших.

 

Читать далее...

AliExpress Russia — совместный проект «Мегафон», Mail.ru, РФПИ и Alibaba

Российский фонд прямых инвестиций, две российских компании «Мегафон», Mail.ru и китайский интернет-гигант Alibaba создали совместное предприятие, которое даст доступ продавцам из РФ к аудитории потенциальных покупателей в поднебесной размером 600 000 000 пользователей. В новом проекте китайской компании принадлежит 48%, и 25% — ее российским партнерам. Основой для создания совместного предприятия станет уже существующие структуры бизнеса AliExpress в России.

Читать далее...

Intel запретила тестирование нового микрокода

После обнаружения очередных уязвимостей крупнейший производитель чипов выпустил обновление микрокода для своих процессоров. Но публиковать результаты тестирования после обновления Intel запретила и внесла соответствующие изменения в лицензионный договор. По мнению ряда специалистов, это свидетельствует о желании компании скрыть сильно падение производительности из-за нового микрокода.

Читать далее...

TSMC остановил производство из-за вируса

По сообщению издательства Bloomberg, крупнейший в мире производитель микросхем и единственный поставщик чипов для Apple, компания TSMC была вынуждена остановить работу своих производственных линий ночью с 4 на 5 августа 2018 года. Причина полного стопа сразу нескольких заводов — вирусная атака на инфраструктуру корпорации. Во время установки ПО для нового оборудования был обнаружен вирус, который попал во внутреннюю сеть компании и быстро распространился.

 

Читать далее...

Microsoft сделала бесплатную версию своего корпоративного мессенджера

В 2016 году Microsoft запустила проект Teams, корпоративный мессенджер который должен был конкурировать со знаменитым Slack. Спустя год компания объявила об отказе от Skype for Business в пользу Teams. А теперь на рынке появилась бесплатная версия мессендежра с гораздо меньшими ограничениями, чем бесплатный пакет Slack.

Читать далее...

В США кадровая программа оказалась сильнее живых бюрократов

Американский разработчик Ибрагим Диалло успешно проработал восемь месяцев в компании, когда столкнулся что автоматическая система уволила его. Примечательно в этой истории то, что три недели руководство не могло сладить с сошедшим с ума компьютером. А началось все с того, что очередным утром пропуск Диалло оказался заблокирован и никто не знал почему.

 

Читать далее...

Microsoft по-прежнему хочет завоевать мобильных пользователей, но уже без Windows

Убийство платформы Windows Phone разочаровал многих поклонников этой системы. А глобальная реорганизация крупнейшего разработчика софта и заметный уклон на облака заставляет нервничать уже пользователей десктопной Windows. Но как оказалось, Microsoft по-прежнему считает мобильных пользователей важной группой и все так же хочет быть производителем рабочей       среды для миллионов, но теперь уже не просто операционной системы на компьютерах.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов