Global Look Press

В апреле прошлого года разработчики принадлежащего социальной сети Facebook мессенджера WhatsApp внедрили в приложение end-to-end шифрование всех сообщений и звонков пользователей, объявив, что получить доступ к содержимому коммуникации могут только сами пользователи. Этот шаг повысил уровень доверия к мессенджеру и стал причиной того, что недавно WhatsApp был признан одним из наиболее защищенных мессенджеров по версии организации Amnesty International.

Однако на деле переписка пользователей WhatsApp может быть не столь надежно защищена от чужих глаз. Как сообщил британской газете The Guardian эксперт по криптографии и безопасности Тобиас Болтер из Калифорнийского университета в Беркли, ему удалось обнаружить в работе мессенджера так называемый бэкдор, который в теории позволяет компании получать доступ к содержимому переписки пользователей и предоставлять ее государственным органам при получении соответствующего запроса.

Суть работы алгоритма сквозного шифрования сообщений в WhatsApp состоит в том, что каждому пользователю мессенджера присваивается уникальный ключ шифрования. Собеседники обмениваются этими ключами, и в теории расшифровать переданное сообщение может только его получатель при помощи своего ключа. В основе используемой WhatsApp технологии лежит протокол Signal, разработанный компанией Open Whisper Systems.

По словам Болтера, на деле ситуация обстоит иначе, поскольку WhatsApp может генерировать новые ключи для пользователей, которые находились офлайн и не получили отправленное сообщение. В этом случае оно будет зашифровано новым ключом и повторно отправлено адресату. Этот процесс происходит автоматически и незаметно для получателя сообщения, в то время как отправитель может узнать о смене ключа только в том случае, если включит показ уведомлений безопасности в настройках аккаунта.

Как утверждает Болтер, WhatsApp может получить доступ к переписке пользователя в процессе повторного шифрования и отправки сообщений.

"Если WhatsApp получит запрос от госорганов раскрыть переписку пользователя, он сможет получить доступ к ней при помощи смены ключей", - сообщил Болтер The Guardian. При этом он подчеркнул, что алгоритм работы серверов WhatsApp, через которые проходят сообщения, позволяет говорить о возможности перехватить всю переписку, а не отдельные сообщения.

Исследователь подчеркнул, что существование бэкдора не связано с протоколом Signal. Так, возможность подобного перехвата сообщений отсутствует в использующем этот протокол одноименном мессенджере, который ранее рекомендовал использовать бывший сотрудник АНБ Эдвард Сноуден. Если сообщение пользователя Signal не будет доставлено собеседнику, то отправитель получит уведомление о смене ключа, а приложение не будет автоматически отправлять сообщение еще раз.

Болтер сообщил, что он обнаружил бэкдор в WhatsApp вскоре после запуска полного шифрования в апреле 2016 года и сразу же уведомил об этом Facebook. Однако представители соцсети сообщили, что им известно об этой особенности мессенджера, но это "запланированное поведение" и над решением этого вопроса не ведется активная работа.

Представитель WhatsApp сообщил The Guardian, что мессенджером пользуется свыше миллиарда человек, поскольку он прост, быстр и безопасен, и компания убеждена в том, что коммуникации пользователей должны быть надежно защищены. При этом он отметил, что изменение ключей, которое можно отслеживать, активировав настройку безопасности, обычно связано с отключением смартфона или переустановкой WhatsApp. Поскольку подобное происходит довольно часто, разработчики хотят быть уверены, что оправленные сообщения точно дойдут до адресата.

Позднее WhatsApp обнародовал еще одно сообщение, в котором подчеркивается, что сервис не дает правительствам доступа к своим системам и намерен бороться, если власти любой страны обратятся за таким доступом.

Эксперты раскритиковали публикацию The Guardian

Отметим что ряд специалистов в области информационной безопасности подверг критике публикацию The Guardian, поскольку речь, по их мнению, идет о нормальной работе системы шифрования мессенджера, а не о бэкдоре или уязвимости, пишет Gizmodo.

Так, бывший iOS-разработчик Open Whisper Systems Фредерик Якобс написал в своем микроблоге в Twitter, что при отсутствии верификации ключей безопасности переписка в WhatsApp или Signal может быть перехвачена, и этот факт хорошо известен.

В свою очередь, бывший сотрудник команды безопасности Facebook Алек Маффетт отметил, что теоретический перехват переписки по описанной схеме потребует сотрудничества с Facebook, и крайне маловероятно, что компания пойдет на такое.

"Скажем, я отправляю вам сообщения, а ваш телефон находится офлайн из-за разряженной батареи, отсутствия сети или по другой причине. В этом случае сообщения сохраняются на моем смартфоне. Предположение (о перехвате. – прим. NEWSru.com) реализуемо при условии, что сохраненные сообщения пытается перехватить кто-то, находящийся в сговоре с Facebook или WhatsApp, имитируя, что собеседник завел новый смартфон. Проще говоря, то, о чем пишет The Guardian как о бэкдоре, на деле является хорошо известным способом обойти системы шифрования, который исключительно сложно реализовать на практике", – пояснил Маффетт.