Чрезвычайно популярную программу для обмена текстовыми сообщениями WhatsApp больше нельзя считать безопасной. Все ранее переданные сообщения следует признать скомпрометированными, говорит Тейс Алькемейд (Thijs Alkemade), студент-математик из университета Утрехта (Нидерланды) и ведущий разработчик мессенджера Adium. По его словам, уязвимы клиентские версии WhatsApp для Android и Nokia S40, а также, вероятно, все остальные клиенты этой программы. У студента нет iPhone, чтобы проверить на нем свои догадки, но можно предположить, что там присутствует такая же уязвимость.

Проблема не в использовании номера IMEI в качестве пароля (эту уязвимость уже исправили), а в ошибках в реализации криптографической схемы WhatsApp. Напомним, что это приложение неоднократно обвиняли в отсутствии криптографической защиты, и в августе 2012 года в него все-таки добавили шифрование сообщений.

Первая ошибка в том, что WhatsApp использует один и тот же ключ RC4 для шифрования и входящих, и исходящих потоков, пишет Тейс Алькемейд. Поскольку зачастую первые сообщения легко предугадать, это дает возможность получить некоторые байты исходных текстов. Аналогичная ошибка с повторным использованием одного и того же ключа аутентификации HMAC.

Студент написал скрипт на Python, который способен перехватывать сообщения WhatsApp и пытается расшифровать входящие сообщения на основании предположения о содержании исходящих сообщений. Предложенный им подход носит скорее теоретический, чем практический характер. Представители WhatsApp назвали заявления Алькемейда «преувеличенными и нацеленными на сенсацию».



1 комментарий

  1. 18.03.2015 at 12:16

    добрый день. хочу поделится с вами своей одной проблемой . Живу с мужем 3 года и стала замечать что он пропадает и не дает читать смс прячет от меня говорит я с друзьями общаюсь и все , Как то он оставил телефон на столе я хотела сама прочитать а тут не тут то было на телефон установил он пароль представьте ! Нашла в интернете парня по имени Илья , он мне помог раскрыть глаза на мужа оказалось что он мне изменял уже пол года . Кому не хочется быть дурой вот его почта dekoff.i@yandex.ru или телефон 89604398099

Оставить мнение