Новини

Недочет в WhatsApp и Signal позволяет посторонним получать доступ к групповым чатам

11 января, 2018. 12:01
Закрытые групповые чаты в защищенных мессенджерах со сквозным шифрованием оказались не такими уж закрытыми. По данным исследователей Рурского университета в Бохуме (Германия), любой, у кого есть контроль над серверами таких приложений, как WhatsApp, Signal и Threema, может незаметно добавлять в закрытые группы новых участников. Добавленные участники могут следить за диалогом без каких-либо разрешений со стороны администратора.

Как пояснили исследователи, в личной переписке двух пользователей сервер играет незначительную роль, однако в случае с групповыми чатами роль сервера значительно возрастает, поскольку он используется для управления всем процессом. Здесь и кроется проблема, считают эксперты. Использование сквозного шифрования предполагает, что даже у WhatsApp и Signal нет доступа к переписке своих пользователей. Тем не менее, пользователи групповых чатов вынуждены целиком и полностью доверить управление ими серверам, которые могут добавлять новых пользователей.

WhatsApp и Signal надлежащим образом не проверяют, кто добавляет в групповые чаты новых участников. Поэтому посторонний (ни администратор, ни даже участник группы) может беспрепятственно добавлять новых пользователей для слежки за всем происходящим в чате. Более того, при добавлении нового участника никто не получит соответствующих уведомлений – злоумышленник с доступом к серверу (например, подкупленный сотрудник WhatsApp или Signal) может манипулировать уведомлениями или даже заблокировать.

ЧИТАТЬ МАТЕРИАЛ
Комментарии: