В мессенджере WhatsApp обнаружена уязвимость, позволяющая шпионить за пользователями
Специалисты по информационной безопасности из Praetorian обнаружили в мессенджере WhatsApp уязвимость, благодаря которой 450 млн пользователей сервиса могут стать жертвами шпионажа или хакеров. По словам экспертов, в WhatsApp присутствуют несколько слабостей в реализации протокола криптографии.

Среди серьезных проблем мессенджера специалисты называют метод, по которому WhatsApp использует технологию SSL 2.0, сообщает Cybersecurity. Данная версия подвержена ряду хорошо известных атак, которые позволяют отслеживать соединения между двумя конечными точками, а также дешифровать и в некоторых случаях манипулировать проходящим трафиком.
Помимо этого, WhatsApp не смог должным образом развернуть технику, известную как Certificate Pinning, которая была создана для блокирования атак с поддельными веб-сертификатами и обхода веб-шифрования. Она позволяет приложению работать по защищенному каналу связи только в том случае, если сервер использует определенный сертификат. Так как сертификат «зашит» в приложение, он отвергает соединение с любым другим «неправильным» сертификатом, даже если тот был выписан легальным удостоверяющим центром и принимается операционной системой и браузером.
Praetorian отмечает два других проблемных момента WhatsApp: использование нулевых шифров SSL и возможность экспорта SSL-шифров. Обе слабости облегчают потенциальным атакующим обход системы шифрования во время перехвата трафика, тогда тот идет между телефоном пользователя и сервером WhatsApp.
«Известно, что именно такие штуки обожают в АНБ США. Говоря упрощенно, они позволяют создавать атаку типа man-in-the-middle и затем дешифровать защищенный канал связи, прослушивая трафик. Эти слабости должны привлечь внимание ИТ-администраторов и пользователей WhatsApp», — говорит Пол Ярегу, технический специалист Praetorian.
Отметим, что в ноябре прошлого года специалисты из Университета Утрехта в Нидерландах также раскритиковали WhatsApp за наличие слабостей в алгоритме шифрования. Они тогда задокументировали ряд проблем, используя которые также можно перехватывать WhatsApp-трафик.