Чрезвычайно популярную программу для обмена текстовыми сообщениями WhatsApp больше нельзя считать безопасной. Все ранее переданные сообщения следует признать скомпрометированными, говорит Тейс Алькемейд (Thijs Alkemade), студент-математик из университета Утрехта (Нидерланды) и ведущий разработчик мессенджера Adium. По его словам, уязвимы клиентские версии WhatsApp для Android и Nokia S40, а также, вероятно, все остальные клиенты этой программы. У студента нет iPhone, чтобы проверить на нем свои догадки, но можно предположить, что там присутствует такая же уязвимость.

Проблема не в использовании номера IMEI в качестве пароля (эту уязвимость уже исправили), а в ошибках в реализации криптографической схемы WhatsApp. Напомним, что это приложение неоднократно обвиняли в отсутствии криптографической защиты, и в августе 2012 года в него все-таки добавили шифрование сообщений.

Первая ошибка в том, что WhatsApp использует один и тот же ключ RC4 для шифрования и входящих, и исходящих потоков, пишет Тейс Алькемейд. Поскольку зачастую первые сообщения легко предугадать, это дает возможность получить некоторые байты исходных текстов. Аналогичная ошибка с повторным использованием одного и того же ключа аутентификации HMAC.

Студент написал скрипт на Python, который способен перехватывать сообщения WhatsApp и пытается расшифровать входящие сообщения на основании предположения о содержании исходящих сообщений. Предложенный им подход носит скорее теоретический, чем практический характер. Представители WhatsApp назвали заявления Алькемейда «преувеличенными и нацеленными на сенсацию».

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии