Недочет в WhatsApp и Signal позволяет посторонним получать доступ к групповым чатам
Как пояснили исследователи, в личной переписке двух пользователей сервер играет незначительную роль, однако в случае с групповыми чатами роль сервера значительно возрастает, поскольку он используется для управления всем процессом. Здесь и кроется проблема, считают эксперты. Использование сквозного шифрования предполагает, что даже у WhatsApp и Signal нет доступа к переписке своих пользователей. Тем не менее, пользователи групповых чатов вынуждены целиком и полностью доверить управление ими серверам, которые могут добавлять новых пользователей.
WhatsApp и Signal надлежащим образом не проверяют, кто добавляет в групповые чаты новых участников. Поэтому посторонний (ни администратор, ни даже участник группы) может беспрепятственно добавлять новых пользователей для слежки за всем происходящим в чате. Более того, при добавлении нового участника никто не получит соответствующих уведомлений – злоумышленник с доступом к серверу (например, подкупленный сотрудник WhatsApp или Signal) может манипулировать уведомлениями или даже заблокировать.