Немецкие исследователи нашли уязвимость в секретных чатах WhatsApp и Signal

12 января 2018 13:31


На проходящей в Швейцарии конференции Real World Crypto специалисты Рурского университета сообщили об уязвимостях в механизмах работы групповых чатов WhatsApp и Signal. Недостатки протоколов позволяют посторонним добавиться и читать такие чаты. При этом наличие сквозного шифрования уже никак не защищает от компрометации мессенджеров. Более серьезная проблема у WhatsApp, но и в Threema и любимом Сноуденом мессенджере Signal также есть уязвимости.

Принцип работы общих чатов Signal или WhatsApp заключается в шифрации сообщений групповым ключом на стороне отправителя перед отправкой в конференцию. Такой ключ есть у каждого участника чата, и он передан всем остальным абонентам, чтобы они могли расшифровывать сообщения. При появлении в конференции нового участника все члены конференции обмениваются новыми групповыми ключами.

 

Real World Crypto

 

Уязвимость WhatsApp заключается в том, что при получении контроля над управляющим сервером можно добавить в конференцию нового участника без пригласительного кода. Этот фиктивный абонент сможет обмениваться сообщениями с любым участником чата и читать все сообщения. Служебные сообщения в чатах WhatsApp не шифруются, что позволяет перехватить идентификатор группы и присоединить нового участника без уведомления действительных членов конференции.

В случае Signal проблема в другом — нет проверки факта участия в конференции пользователя, отправившего служебное сообщение о включении в чат нового участника. Правда использовать эту уязвимость, даже имея физический доступ к серверу нереально, так как как для включения в чат пользователя нужно знать секретный идентификатор конференции, представляющий собой случайно сгенерированное 128 разрядное число.

При несанкционированном включении в чаты нового пользователя, он сможет читать новые сообщения, что компрометирует переписку, хоть она и зашифрованная. Хотя подобные атаки маловероятны из-за необходимости физического доступа и взлома управляющих серверов WhatsApp и Signal, разработчики протоколов обмена в этих мессенджерах намерены внести изменения, исключающие возможность подобных атак. Facebook опубликовала новый протокол секретных групповых чатов ART. Эта технология позволяет выполнить новый обмен ключами для части участников чата, исключив тех, кто находится не в сети или скомпрометирован.

Напомним, ранее Эдвард Сноуден неоднократно подчеркивал, что использует мессенджер Signal, так как знает его принцип работы и считает его защищенным от прослушивания.





Обсудить материал (0)


Предыдущая статья

В США разрабатывают компьютер, который нельзя взломать
Следующая статья

Google сохранил много возможностей отслеживания пользователей Android



Веб-интерфейс и функции Gmail скоро изменятся

Компания Google известила пользователей своего бизнес пакета G Suite о предстоящем редизайне сервиса электронной почты Gmail. Измениться как внешний вид веб-почты, так и набор функций. Ожидается много интересных новинок, в том числе возможность откладывать письма (через заданное время они снова будут показаны во входящих как не прочитанные) и доступ к Календарю Google из веб-интерфейса почты. Также сам дизайн Gmail будет приведен в точное соответствие канонов Material Design.

Читать далее...

Google придумала как обходить национальные блокировки приложений

Среди сервисов, жизненно важных обычным пользователям гаджетов под управлением Android одним из основных является магазин приложений. Абсолютное большинство обладателей планшетов и смартфонов устанавливают приложения только из Google Play. Это не только магазин программ, но и книг, музыки, фильмов. Совершенствуя техническую составляющую своего магазина приложений, в Google нашел способ решить одну досадную политическую проблему.

 

Читать далее...

Админы ВК нашли, кто виноват в утечке данных. Это VPN

Сотрудники крупнейшей социальной сети Рунета изучили случаи недавно произошедших утечек содержимого личных сообщений пользователей и пришли к выводу что причина в непроверенных VPN-сервисах. По мнению представителей Вконтакте несанкционированного доступа данных произошел на этапе шифрованного подключения к интернету. Некоторые провайдеры VPN могут сохранять данные пользователей и передавать их третьим лицам, например, рекламным агентствам.

Читать далее...

Новые аппаратные уязвимости в современных процессорах

Ставшими широко известными в январе уязвимости спекулятивных вычислений Meltdown и Spectre оказались не единственной серьезной проблемой процессоров крупнейших производителей Intel и AMD. Совместное исследование ученых из Принстонского университета и компании NVIDIA выявило новые способы атак на основании предсказания ветвления кода и доступа к защищенной памяти. Эти атаки можно применять почти ко всем современным процессорам.

 

Читать далее...

Google сохранил много возможностей отслеживания пользователей Android

В настройках безопасности аккаунта в Google у пользователя Android есть опция «История местоположения». По умолчанию она отключена, но если пользователь ее активирует (например, чтобы подробно сохранить историю своего путешествия), то Google будет получать огромный объем информации, не зависимо от подключения смартфона к мобильной сети. В прошлом году уже появлялась информация об отслеживании пользователей Android по вышкам мобильной связи. Теперь журналисты и интернет-издания Quartz решили поставить эксперимент с целью определить, какие данные о пользователе передаются при включенной истории местоположений.

Читать далее...

В США разрабатывают компьютер, который нельзя взломать

Университет штата Мичиган получил грант более трех с половиной миллионов долларов на разработку компьютера, защищенного от атак хакеров на уровне аппаратуры. Заказчиком выступает DARPA (Агентство перспективных исследовательских проектов минобороны США). Цель работ — создать новую архитектуру, которую в принципе взломать будет невозможно.

Читать далее...

Instagam будет защищать права животных

Instagram — популярная социальная сеть, основной контент которой состоит из фотографий. Люди делаться в инстаграме всем забавным, в том числе и смешными фотоснимками животных. Теперь Instagram присоединился к сторонникам гуманного обращения с животными и запретил публиковать фотографии, на которых изображено жестокое обращение с птицами или зверями. Администрация социалки призывает своих пользователей не делать снимки, показывающие зверей страдающими в непривычных условиях. К сожалению, ради смешных кадров люди игнорируют издевательства над представителями фауны в зоопарках и в цирке.

Читать далее...

Первый удачный опыт использования имплантатов для человеческого мозга

Профессор Донг Сонг, работающий в Университете Южной Калифорнии, представил новую модель мозгового имплантата, улучшающего работу мыслительного органа человека. Этот образец электроники совершенствующий биологическую природу был продемонстрирован в Вашингтоне, на встрече Общества нейронауки. Основная функция — компенсация последствий болезни Альцгеймера и аналогичных заболеваний. Кроме этого, впервые удалось реализовать то, что было многократно описано в художественных произведениях и фильмах в стиле киберпанка — улучшение памяти с помощью вживленных в мозг чипов.

 

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов