Недочет в WhatsApp и Signal позволяет посторонним получать доступ к групповым чатам

11 Января 12:21
Закрытые групповые чаты в защищенных мессенджерах со сквозным шифрованием оказались не такими уж закрытыми. По данным исследователей Рурского университета в Бохуме (Германия), любой, у кого есть контроль над серверами таких приложений, как WhatsApp, Signal и Threema, может незаметно добавлять в закрытые группы новых участников. Добавленные участники могут следить за диалогом без каких-либо разрешений со стороны администратора.

Как пояснили исследователи, в личной переписке двух пользователей сервер играет незначительную роль, однако в случае с групповыми чатами роль сервера значительно возрастает, поскольку он используется для управления всем процессом. Здесь и кроется проблема, считают эксперты. Использование сквозного шифрования предполагает, что даже у WhatsApp и Signal нет доступа к переписке своих пользователей. Тем не менее, пользователи групповых чатов вынуждены целиком и полностью доверить управление ими серверам, которые могут добавлять новых пользователей.

WhatsApp и Signal надлежащим образом не проверяют, кто добавляет в групповые чаты новых участников. Поэтому посторонний (ни администратор, ни даже участник группы) может беспрепятственно добавлять новых пользователей для слежки за всем происходящим в чате. Более того, при добавлении нового участника никто не получит соответствующих уведомлений – злоумышленник с доступом к серверу (например, подкупленный сотрудник WhatsApp или Signal) может манипулировать уведомлениями или даже заблокировать.

ЧИТАТЬ МАТЕРИАЛ

Комментарии:

НОВЫЕ СТАТЬИ

Всеукраинская конференция по IT-безопасности UA.SC 2018
По материалам Integrity Vision 19 Октября 09:09
В Украине открыли бесплатную школу «белых хакеров»
По материалам Cyber School 18 Октября 10:07