Разделы

ПО Софт Интернет Веб-сервисы Техника

В WhatsApp найдена «дыра», позволяющая властям читать чужую переписку

Несмотря на мощное шифрование, пользователи по-прежнему уязвимы для правительственного надзора. Эксперты предупреждают о возможностях обхода шифрования для отслеживания пользователей мобильного приложения. Эти атаки требуют, чтобы все члены группы WhatsApp или обе стороны разговора находились в одной сети и в пределах одной страны или договорной юрисдикции.

Уязвимость в мессенджере

В марте 2024 г. команда безопасности WhatsApp сообщила о серьезной угрозе для пользователей мессенджера. Внутренний документ, полученный изданием The Intercept, утверждает, что содержание переписок 2 млрд пользователей остается защищенным, но правительственные агентства могут обходить данную защиту.

Уязвимость основана на анализе трафика, используемом десятилетиями методе сетевого мониторинга, и на изучении интернет-трафика в масштабах всей страны. Из документа ясно следует, что WhatsApp не единственная уязвимая платформа для обмена сообщениями. Но это говорит о том, что владелец WhatsApp, компания Meta* (компания признана экстремистской организацией на территории России), должен быстро решить, что является приоритетом. Владельцы ИТ-компании должны выбрать из функциональности чат-приложения или безопасности пользователей WhatsApp.

В анализе отмечается, что правительство может легко определить, когда человек использует WhatsApp, отчасти потому, что данные должны проходить через легко идентифицируемые корпоративные серверы. Затем правительственное учреждение может раскрыть конкретных пользователей, отслеживая их IP-адрес и учетную запись интернет-провайдера или поставщика услуг сотовой связи.

В WhatsApp найдена уязвимость, позволяющая правительствам отслеживать переписку пользователей. Хотя представители разработчика заявляют, что перехватить сообщения в мессенджере не может никто

Команда внутренней безопасности WhatsApp выявила несколько примеров того, как умелое наблюдение за зашифрованными данными может вызвать корреляционную атаку. В одном случае пользователь отправляет сообщение группе, в результате чего на устройства всех членов этой группы передается пакет данных одинакового размера. Другая корреляционная атака предполагает измерение временной задержки между отправкой и получением сообщений в мессенджере между двумя сторонами. Это позволяет определить расстояние и, возможно, местоположение каждого получателя.

Из документа следует, что WhatsApp должен снизить уровень использования уязвимостей анализа трафика, которые позволяют национальным государствам определять, кто с кем разговаривает. Отчет не приводит конкретных примеров использования этого метода государственными органами, но ссылается на отчеты New York Times и Amnesty International, которые наглядно показывают, как государства следят за использованием зашифрованных приложений для обмена сообщениями.

Ответ от владельцев WhatsApp

«В WhatsApp нет бэкдоров, и у нас нет доказательств наличия уязвимостей в работе WhatsApp», - заявила представитель Meta Кристина Лонигро (Christina LoNigro).

Хотя в отчете об оценке уязвимости описаны как текущие и, в частности, WhatsApp упоминается 17 раз. Лонигро сообщила, что документ не отражает уязвимость в WhatsApp, а является теоретическим и не уникальным для WhatsApp. Она не ответила на вопрос издания The Intercept, расследовала ли компания Meta на май 2024 г. данную уязвимость в месендежре.

Решение проблем несколько, но нужен выбор

Инженеры WhatsApp признают серьезность проблемы, но изо всех сил пытаются найти решение, обеспечивающее баланс между производительностью, функциональностью и конфиденциальностью. Эта сложность возникает из-за необходимости обеспечить высокую скорость обработки и бесперебойную функциональность платформы, а также поддерживать максимальный уровень защиты и конфиденциальности пользовательских данных.

Похоже, что возможность искусственной задержки отправки сообщений затронет всех пользователей, а отправка потока поддельных данных для маскировки реальных разговоров потенциально может отпугнуть правительства. Кроме того, это может привести к сокращению времени автономной работы и увеличению счетов за мобильную связь, что вызывает серьезные опасения.

Служба безопасности WhatsApp рассматривает возможность введения более строгого режима безопасности для пользователей из групп повышенного риска, аналогичного режиму карантина у Apple под названием «lockdown mode» для устройств iOS. Однако это также может быть сопряжено с риском, поскольку государственные правительства, вероятно, смогут выявлять таких пользователей и воздействовать на них еще более эффективно.

Правительственная слежка

Аналитический центр The Century Foundation провел исследование о том, что показывают метаданные. Исследователи смогли показать, что метаданные можно собирать, анализировать и легко интерпретировать для определения религиозной принадлежности, состояния здоровья, владения оружием, употребления наркотиков и даже незапланированной беременности.

В первой половине 2020 г. крупные технологические компании, такие как Apple, Google, Facebook** (принадлежит организации Meta, которая признана экстремистской на территории России) и Microsoft, получили более 112 тыс. запросов данных от местных лишь в США, государственных и федеральных чиновников. Компании выполнили 85% этих запросов, с радостью передав личную информацию о своих пользователях.

Молотком или отверткой? Как компании выбирают между специализированными и универсальными СУБД
Цифровизация

В 2021 г. произошла даже утечка правительственных документов США, показывающая, что действует программа отслеживания текстовых сообщений и метаданных журналистов и защитников иммиграции. В то время аналитик из The Century Foundation Роберт Браун (Robert Brown) посоветовал пользователям задуматься об этом на минутку. Ведь американское правительство, которое любит рассуждать на то, насколько оно свободно, активно строит внутри себя информационный концлагерь.

* Meta (компания признана экстремистской организацией на территории России).

** Facebook (принадлежит организации Meta, которая признана экстремистской на территории России).

Антон Денисенко