Pull to refresh
37.48
Rating
Varonis Systems
Защита от внутренних угроз и комплексных кибератак

Сообщения WhatsApp могут быть доступны посторонним: серьезная уязвимость позволяет получить доступ к вашей переписке

Varonis Systems corporate blog
Recovery mode
Translation
Original author: Эбигейл Билл (Abigail Beall)
• Facebook заявляет, что никто, даже сама компания, не может получить доступ к сообщениям WhatsApp.

• Однако лазейка в системе безопасности позволяет Facebook читать переписку клиентов.

• Это становится возможным при принудительной генерации ключей шифрования WhatsApp для пользователей не в сети.

• Сообщение об уязвимости поступило в компанию Facebook в апреле прошлого года.

Благодаря сквозному шифрованию WhatsApp считается одной из самых безопасных служб обмена сообщениями.

При сквозном шифровании перехваченное сообщение невозможно прочитать.

Тем не менее в системе безопасности программы выявлена брешь, которая позволяет посторонним лицам и Facebook перехватывать и читать зашифрованные сообщения WhatsApp.

image


БРЕШЬ В БЕЗОПАСНОСТИ

Уязвимость была обнаружена исследователем из Калифорнийского университета в Беркли.

Компания Facebook, которая купила WhatsApp два года назад, заявляет, что никто не может перехватить сообщения WhatsApp, включая саму компанию и ее персонал.

Однако согласно отчетам применяемый способ шифрования позволяет компании читать сообщения.

Активисты назвали это серьезной угрозой свободе слова.

Брешь в системе безопасности обнаружил Тобиас Бёльтер (Tobias Boelter), исследователь в области криптографии и безопасности из Калифорнийского университета в Беркли.

Он рассказал ресурсу The Guardian: «Если правительственная организация попросит WhatsApp открыть доступ к записям сообщений, это будет легко сделать из-за возможности смены ключей».

При сквозном шифровании сообщения видны только отправителю и человеку, который должен был получить их.

Для работы системы используются «замки», которые защищают переписку между собеседниками и в групповом чате.

Для замка есть специальный «ключ», доступный только отправителю и получателям.

Компания заявляет, что эта технология позволяет защитить личные данные от киберпреступников, хакеров, диктаторских режимов и даже представителей WhatsApp.

Однако WhatsApp может генерировать новые ключи шифрования для пользователей, находящихся не в сети.

Система также может принудительно выполнять повторное шифрование недоставленных сообщений, создавая новые ключи, и заново отправлять их без уведомления пользователя.
Повторное шифрование и отправка позволяет WhatsApp перехватывать и читать сообщения пользователей.

По информации The Guardian, господин Бёльтер сообщил Facebook об уязвимости в апреле 2016 года, но ему ответили, что компания осведомлена о проблеме, назвали ее «ожидаемым поведением» и заявили, что в ближайшее время не планируют ее устранять.

image

Вице-президент по стратегии и расширению рынка компании Varonis Дэвид Гибсон (David Gibson) утверждает: «Мы смеемся, когда высокопоставленные лица, например избранный президент Трамп, заявляют, что нам следует передавать конфиденциальную информацию с помощью бумаги и ручки, но в эпоху ежедневных утечек данных потребителям необходимо смириться с тем, что их общение будет оставаться личным недолго».

По его словам, «даже в таких приложениях, как WhatsApp, разработчики которых заявляют, что никто не может следить за перепиской их пользователей», могут возникнуть уязвимости в результате случайного или намеренного создания лазеек.

«Потребителям и компаниям, таким как Facebook, требуется постоянно проявлять бдительность для защиты интересов клиентов», — добавил он.

ДОСТУП К ДАННЫМ WHATSAPP

Приложение WhatsApp вызвало интерес в связи с предоставлением данных родительской компании Facebook.

Произошло трудноуловимое, но значительное изменение для мессенджера, который долгое время обещал защитить конфиденциальность более чем одного миллиарда пользователей во всем мире.

В сентябре прошлого года приложение WhatsApp начало связывать учетные записи с Facebook, передавая номера мобильных телефонов пользователей.

Кроме того, компании предоставляют друг другу информацию об устройстве, например тип операционной системы и характеристики смартфона.

Facebook использует телефонные номера для внутренних целей, определяя пользователей WhatsApp в социальной сети Facebook.

Таким образом компания может рекомендовать друзей или показывать целевую рекламу.
Для рекламы Facebook использует программу «Индивидуально настроенные аудитории».


Патрик Арбен (Patrick Arben), партнер в юридической фирме Gowling WLG, утверждает: «Чтобы действия были правомерными, их необходимо осуществлять в рамках закона о полномочиях властей, проводящих расследование уголовного преступления, который вступил в силу в ноябре прошлого года.

Он в какой-то мере упрощает работу служб, занимающихся расследованиями и слежкой, полномочия и права которых ранее распределялись между множеством законодательных актов.
Из закона исключены оскорбительные положения, требующие от информационно-технологических компаний создавать лазейки в своих системах. Эти положения прозвали шпионским уставом.

Закон улучшили, чтобы повысить защиту от злоупотребления полномочиями службами, которые занимаются перехватом информации и слежкой.

Перехват информации осуществляется под усиленным судебным надзором. Однако эти меры не заходят так далеко, как предлагалось независимым специалистом в области законодательства, направленного на борьбу с терроризмом».

Доктор Джейми Грэйвс (Jamie Graves), генеральный директор ZoneFox, добавил: «Следует признать, что в эпоху цифровых технологий мы не можем заявлять о безопасности чего-либо.

Даже о безопасности приложения компании WhatsApp, которая предприняла серьезные шаги для продвижения идеи о защищенности своего продукта от любых угроз проникновения.

В то время как основное внимание в связи с обнаруженной брешью будет направлено на личные последствия для миллиардов пользователей WhatsApp, представителям компаний также следует быть крайне обеспокоенными. В современном мире обсуждение многих связанных с работой вопросов, зачастую конфиденциальных и проходящих на высшем уровне, происходит в данном приложении.

Судя по всему, масса информации была доступна любому, кто знал, как ее получить. Теперь можно только догадываться, был ли осуществлен несанкционированный доступ и какое количество конфиденциальной информации могло попасть в чужие руки.

Кроме того, появление приложения WhatsApp для ПК, которое стремительно набрало популярность, означает, что миллионы служащих использовали это программное обеспечение на рабочих устройствах, потенциально открывая доступ к конфиденциальной информации и серверам компаний.

Эта уязвимость должна послужить весомым сигналом для представителей компаний к проявлению бдительности и тщательному отслеживанию угроз безопасности, которые скрываются в наименее очевидных аспектах работы компании».
Tags:
Hubs:
Total votes 17: ↑7 and ↓10 -3
Views 9.3K
Comments Comments 2

Information

Founded
Location
США
Website
varonis.com
Employees
1,001–5,000 employees
Registered