Немецкие исследователи нашли уязвимость в секретных чатах WhatsApp и Signal

12 января 2018 13:31


На проходящей в Швейцарии конференции Real World Crypto специалисты Рурского университета сообщили об уязвимостях в механизмах работы групповых чатов WhatsApp и Signal. Недостатки протоколов позволяют посторонним добавиться и читать такие чаты. При этом наличие сквозного шифрования уже никак не защищает от компрометации мессенджеров. Более серьезная проблема у WhatsApp, но и в Threema и любимом Сноуденом мессенджере Signal также есть уязвимости.

Принцип работы общих чатов Signal или WhatsApp заключается в шифрации сообщений групповым ключом на стороне отправителя перед отправкой в конференцию. Такой ключ есть у каждого участника чата, и он передан всем остальным абонентам, чтобы они могли расшифровывать сообщения. При появлении в конференции нового участника все члены конференции обмениваются новыми групповыми ключами.

 

Real World Crypto

 

Уязвимость WhatsApp заключается в том, что при получении контроля над управляющим сервером можно добавить в конференцию нового участника без пригласительного кода. Этот фиктивный абонент сможет обмениваться сообщениями с любым участником чата и читать все сообщения. Служебные сообщения в чатах WhatsApp не шифруются, что позволяет перехватить идентификатор группы и присоединить нового участника без уведомления действительных членов конференции.

В случае Signal проблема в другом — нет проверки факта участия в конференции пользователя, отправившего служебное сообщение о включении в чат нового участника. Правда использовать эту уязвимость, даже имея физический доступ к серверу нереально, так как как для включения в чат пользователя нужно знать секретный идентификатор конференции, представляющий собой случайно сгенерированное 128 разрядное число.

При несанкционированном включении в чаты нового пользователя, он сможет читать новые сообщения, что компрометирует переписку, хоть она и зашифрованная. Хотя подобные атаки маловероятны из-за необходимости физического доступа и взлома управляющих серверов WhatsApp и Signal, разработчики протоколов обмена в этих мессенджерах намерены внести изменения, исключающие возможность подобных атак. Facebook опубликовала новый протокол секретных групповых чатов ART. Эта технология позволяет выполнить новый обмен ключами для части участников чата, исключив тех, кто находится не в сети или скомпрометирован.

Напомним, ранее Эдвард Сноуден неоднократно подчеркивал, что использует мессенджер Signal, так как знает его принцип работы и считает его защищенным от прослушивания.





Обсудить материал (0)


Предыдущая статья

В США разрабатывают компьютер, который нельзя взломать
Следующая статья

Google сохранил много возможностей отслеживания пользователей Android



Microsoft сделала бесплатную версию своего корпоративного мессенджера

В 2016 году Microsoft запустила проект Teams, корпоративный мессенджер который должен был конкурировать со знаменитым Slack. Спустя год компания объявила об отказе от Skype for Business в пользу Teams. А теперь на рынке появилась бесплатная версия мессендежра с гораздо меньшими ограничениями, чем бесплатный пакет Slack.

Читать далее...

В США кадровая программа оказалась сильнее живых бюрократов

Американский разработчик Ибрагим Диалло успешно проработал восемь месяцев в компании, когда столкнулся что автоматическая система уволила его. Примечательно в этой истории то, что три недели руководство не могло сладить с сошедшим с ума компьютером. А началось все с того, что очередным утром пропуск Диалло оказался заблокирован и никто не знал почему.

 

Читать далее...

Microsoft по-прежнему хочет завоевать мобильных пользователей, но уже без Windows

Убийство платформы Windows Phone разочаровал многих поклонников этой системы. А глобальная реорганизация крупнейшего разработчика софта и заметный уклон на облака заставляет нервничать уже пользователей десктопной Windows. Но как оказалось, Microsoft по-прежнему считает мобильных пользователей важной группой и все так же хочет быть производителем рабочей       среды для миллионов, но теперь уже не просто операционной системы на компьютерах.

Читать далее...

У Windows больше не будет броских имен

Сбившись с графика с Windows 10 April 2018 Update, компания Microsoft решила отказаться от традиции «сезонных» имен крупных обновлений своей операционной системы. Новая версия Windows 1803, как следует из цифрового кода, должна была выйти в марте 2018 года. Однако компания задержала это обновления, которое стало поступать на компьютеры только 30 апреля.

Читать далее...

Сергей Брин в ежегодном письме поставил на первое место ИИ

Один из основателей Google, Сергей Брин традиционно обратился к сотрудникам компании через ежегодное корпоративное письмо. На этот раз создатель поискового гиганта большей частью писал о искусственном интеллекте и машинном обучении. Эти технологии, появившиеся еще в сороковые годы 20 века в результате исследований работы мозга, теперь нашли широкое применение.

Читать далее...

Веб-интерфейс и функции Gmail скоро изменятся

Компания Google известила пользователей своего бизнес пакета G Suite о предстоящем редизайне сервиса электронной почты Gmail. Измениться как внешний вид веб-почты, так и набор функций. Ожидается много интересных новинок, в том числе возможность откладывать письма (через заданное время они снова будут показаны во входящих как не прочитанные) и доступ к Календарю Google из веб-интерфейса почты. Также сам дизайн Gmail будет приведен в точное соответствие канонов Material Design.

Читать далее...

Google придумала как обходить национальные блокировки приложений

Среди сервисов, жизненно важных обычным пользователям гаджетов под управлением Android одним из основных является магазин приложений. Абсолютное большинство обладателей планшетов и смартфонов устанавливают приложения только из Google Play. Это не только магазин программ, но и книг, музыки, фильмов. Совершенствуя техническую составляющую своего магазина приложений, в Google нашел способ решить одну досадную политическую проблему.

 

Читать далее...

Админы ВК нашли, кто виноват в утечке данных. Это VPN

Сотрудники крупнейшей социальной сети Рунета изучили случаи недавно произошедших утечек содержимого личных сообщений пользователей и пришли к выводу что причина в непроверенных VPN-сервисах. По мнению представителей Вконтакте несанкционированного доступа данных произошел на этапе шифрованного подключения к интернету. Некоторые провайдеры VPN могут сохранять данные пользователей и передавать их третьим лицам, например, рекламным агентствам.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов