WhatsApp отрицает наличие «черного хода», позволяющего перехватывать и читать сообщения

Мессенджер назвал обнаруженную ошибку проектным решением, позволяющим создавать новые ключи для пользователей, находящихся вне сети.

В WhatsApp обнаружена ошибка, позволяющая перехватывать и читать сообщения, отправляемые через зашифрованную платформу, пишет Techcrunch. В докладе Guardian, где уязвимость получила название "черный ход", отмечается, что независимый исследователь безопасности Тобиас Боелтер обнаружил эту ошибку еще в апреле 2016 года, сообщив о ней в Facebook и назвав "ожидаемым поведением", а также заявив, что компания плохо работает над ее устранением. Газета утверждает, что уязвимость до сих пор существует.

Хотя популярное приложение для обмена сообщениями WhatsApp получило похвалу экспертов в области безопасности за реализацию сквозного шифрования Signal Protocol в своей платформе, мессенджер отказался от этой меры защиты в апреле прошлого года. Тем не менее код компании остался закрытым, и это значит, что пользователи всегда должны доверять мессенджеру без возможности внешней ревизии кода.

Проблема безопасности, выявленная Боелтером и разглашенная Guardian, связана с реализацией WhatsApp Signal, и позволяет ускорять создание новых ключей шифрования для пользователей не в сети. Боелтер описал ее как "уязвимость ретрансляции" и назвал способом перехвата и прочтения сообщений — т.е. потенциальным "черным ходом" в сквозном шифровании WhatsApp.

Однако WhatsApp отрицает название "черный ход", заявляя, что это проектное решение, относящееся к доставке сообщений, где новые ключи создаются для пользователей вне сети, чтобы сообщения не терялись в пути. Несколько специалистов по безопасности также отметили, что в вышеупомянутой уязвимости нет ничего нового — скорее, повторение старого вопроса о том, как проверка подлинности ключа осуществляется в зашифрованной системе.

ASTERA