Ученые из университета Беркли изучили реализацию функции оконечного шифрования переписок в WhatsApp, которую разработчики мессенджера подключили всем пользователям в апреле 2016 года. Выяснилось, что в алгоритме существует лазейка, которая позволяет получить доступ к зашифрованной переписке владельцев смартфонов, передает Today.kz со ссылкой на Guardian.

Шифрование в WhatsApp работает следующим образом: уникальный ключ шифрования для каждого пользователя привязан к номеру телефона, и устройство не может передать его другим — таким образом, пользователь может общаться в мессенджере только с одного устройства единовременно. В создании алгоритма шифрования принимала участие компания Open Whisper Systems (OWS) — разработчик мессенджера Signal, рекомендованного к использованию Эдвардом Сноуденом.

Специалист по криптографии и безопасности Тобиас Болтер обнаружил уязвимость в алгоритме — она позволяет мессенджеру генерировать новые ключи шифрования для пользователей, которые в текущий момент находятся в офлайн-режиме. Эта процедура практически незаметна для отправителя сообщений. В результате смены ключа шифрования мессенджер заново шифрует и отправляет все отправленные пользователем сообщения, которые не были помечены как доставленные.

Получатель не узнает о смене ключа, а отправитель может обнаружить проблему в том случае, если в настройках аккаунта включены уведомления о подозрительных действиях с ключами шифрования. Оповещение о проблеме он получит только после того, как сообщения окажутся перешифрованы и заново отправлены получателю.

По мнению Болтера, повторная генерация ключей шифрования и отправка сообщений позволяют WhatsApp перехватывать и читать сообщения пользователей.

Сообщается, что представители WhatsApp в ответ на запрос Guardian рассказали, что компания "заботится о безопасности пользователей", и обратили внимание на наличие в мессенджере функции, которая предупреждает пользователя о смене ключа шифрования.

Today.kz