Тобиас Болтер, ученый из Калифорнийского университета, обнаружил, что мессенджер WhatsApp может незаметно для пользователей менять ключи шифрования и получать доступ к их переписке — об этом сообщает Vc.
Шифрование в WhatsApp работает так: уникальный ключ шифрования для каждого пользователя привязан к номеру телефона и устройство не может передать его другим. Так, пользователь может общаться в мессенджере только с одного устройства единовременно. В создании алгоритма шифрования участвовала компания Open Whisper Systems (OWS).
Тобиас Болтер обнаружил уязвимость в алгоритме. Она позволяет мессенджеру генерировать новые ключи шифрования для пользователей, которые находятся в офлайн-режиме. Эта процедура практически незаметна для отправителя сообщений. После смены ключа шифрования мессенджер заново шифрует и отправляет все отправленные пользователем сообщения, которые не были помечены как доставленные.
О смене ключа получатель никак не может узнать, а отправитель обнаружит проблему только, если в настройках аккаунта включены уведомления о подозрительных действиях с ключами шифрования. Оповещение о проблеме он получит после того, как сообщения окажутся перешифрованы и заново отправлены получателю.
Представители WhatsApp в ответ на это заявление сказали, что компания заботится о безопасности пользователей и обратили внимание на наличие в мессенджере функции, которая предупреждает пользователя о смене ключа шифрования.
Напомним, что в октябре 2016 года международная правозащитная организация Amnesty International признала WhatsApp одним из самых защищенных от несанкционированного доступа мессенджеров мира.