Обновление: WhatsApp дал следующий ответ:
«Сегодня утром газета The Guardian опубликовала статью, в которой утверждалось, что преднамеренное дизайнерское решение в WhatsApp, людей от потери миллионов сообщений является «черным ходом», позволяющим правительствам заставить WhatsApp расшифровывать сообщения потоки. Это утверждение ложно.
WhatsApp не предоставляет правительствам «черный ход» в свои системы и будет бороться с любым запросом правительства на создание бэкдора. Дизайнерское решение, упомянутое в истории Guardian, предотвращает потерю миллионов сообщений, а WhatsApp предлагает людям уведомления о безопасности, чтобы предупредить их о потенциальных угрозах безопасности. WhatsApp опубликовал технический документ на своем дизайне шифрования, и был прозрачным в отношении правительственных запросов, которые он получает, публикуя данные об этих запросах в Отчет о запросах правительства Facebook.“
Оригинальная история продолжается ниже.
–
В WhatsApp есть бэкдор, который позволяет Facebook перехватывать и читать зашифрованные сообщения.
Об этом говорится в отчете Хранитель, который утверждает то, как WhatsApp реализовал свой протокол сквозного шифрования, позволяет компании получать доступ к личным сообщениям, по крайней мере, теоретически.
Как поясняется в отчете, шифрование WhatsApp «зависит от генерации уникальных ключей безопасности», созданных с использованием протокола Open Whisper Systems Signal. Эти уникальные ключи обмениваются и проверяются между пользователями, чтобы гарантировать, что линии связи защищены от посредников.
Все идет нормально. Но оказывается, WhatsApp также имеет возможность автоматически повторно отправлять недоставленные сообщения, заставляя генерировать новые ключи шифрования. без ведома получателя (отправитель уведомляется только после повторной отправки сообщения, если пользователь подписался на предупреждения о шифровании в настройки). Важно отметить, что это повторное шифрование может позволить WhatsApp или другой стороне генерировать известные ключи, которые позволят им перехватить и прочитать сообщение.
Эта настройка не является родной для протокола Signal, который не сможет доставить сообщение, если ключ безопасности был изменен в автономном режиме. Вместо этого уязвимость связана с реализацией протокола WhatsApp, которая автоматически повторно отправляет недоставленное сообщение с новым ключом.
Тобиас Болтер, исследователь безопасности из Калифорнийского университета в Беркли, обнаружил уязвимость и сообщил о ней владельцам WhatsApp в Facebook в 2016 году. Позже ему сказали, что это было «ожидаемое поведение», и Хранитель удалось убедиться, что бэкдор все еще существует.
«Если государственное учреждение попросит WhatsApp раскрыть свои записи обмена сообщениями, оно может фактически предоставить доступ из-за смены ключей», — сказал Болтер. Хранитель.
Смотрите связанные
Бэкдор также был проверен Штеффеном Тором Йенсеном, главой отдела информационной безопасности и цифрового противодействия слежке в Европейско-бахрейнской организации по правам человека. «WhatsApp может эффективно переключать ключи безопасности, когда устройства находятся в автономном режиме, и повторно отправлять сообщение без сообщать пользователям об изменении до тех пор, пока оно не будет внесено, обеспечивая крайне небезопасную платформу», — сказал он газете.
Предполагаемое внимание WhatsApp к информационной безопасности сделало его предпочтительной платформой для диссидентов, журналистов и дипломатов. Защитники конфиденциальности прокляли это разоблачение предполагаемого бэкдора, включая профессора Кирсти Болл, содиректора и основателя Центр исследований информации, наблюдения и конфиденциальности, который сказал, что уязвимость представляет собой «огромную угрозу свободе речь".
«Если вы используете WhatsApp, чтобы избежать правительственной слежки, остановитесь сейчас», — написал он в Twitter. Хранительх Сэмюэл Гиббс.
«Наличие бэкдора безопасности, который заставляет генерировать новые ключи шифрования, уже достаточно плохо. Но не сообщать получателю об этом изменении крайне неэтично,— сказал Джейкоб Гинзберг.старший директор компании по разработке программного обеспечения для шифрования Echoworx. "ЯЭто ставит под сомнение безопасность, конфиденциальность и надежность всей услуги и бизнеса. Тот факт, что Facebook знал об этой уязвимости с апреля, вдвойне опасен. Мало того, что многие могут расценить это как поддержку продолжающихся государственных вмешательств по сбору данных, это означает, что их разговоры о шифровании и конфиденциальности были не более чем пустыми словами. Компании необходимо активно применять меры безопасности».
