Эксперты по инфобезопасности нашли новую уязвимость в WhatsApp. Согласно исследованию, злоумышленники могут перехватывать и читать любые зашифрованные сообщения.
Функция сквозного шифрования появилась в WhatsApp в апреле 2016 года. С этого момента сообщения шифруются и дешифруются прямо на смартфоне пользователя, а не на удаленном сервере. Мессенджер создает ключ шифрования для получателя и адресата в виде QR-кода. Чтобы подтвердить шифрование, нужно отсканировать код, однако мало кто это делает.
В апреле прошлого года аналитик из Калифорнийского университета (University of California) Тобиас Белтер обнаружил, что приложение может сменить ключ шифрования без ведома пользователя. Обычно код меняется, когда пользователь потерял смартфон или сменил номер. Однако злоумышленники могут использовать эту функцию могут для перехвата сообщений.
Белтер сообщил об уязвимости в Facebook (социальная сеть купила WhatsApp в октябре 2014 года) сразу после ее обнаружения. 25 мая от социальной сети пришел ответ, который неприятно удивил аналитика: «Мы знаем об этой особенности, все так и задумано. Пока мы не планируем ничего менять».
13 января 2017 года The Guardian сообщила, что возможность перехвата зашифрованных до сих пор не устранена.
Рекомендуем изменить настройки WhatsApp (Настройки — Учетная запись — Безопасность), чтобы приложение присылало уведомление о замене ключа шифрования.
К сожалению, это не защитит от описанной выше уязвимости, потому что уведомление приходит после отправки сообщения с новым ключом, однако хотя бы позволит быть в курсе изменений ключей шифрования.