iPhone & iPad

Голландский студент взломал WhatsApp

3
12

Популярный мобильный мессенджер WhatsApp больше нельзя считать безопасным. Все ранее переданные сообщения следует признать скомпрометированными, заявил Тейс Алькемейд, студент-математик из университета Утрехта в Нидерландах и ведущий разработчик мессенджера Adium. Этот сервис имеет значительную архитектурную уязвимость в его подсистеме криптографии, которая позволяет потенциальным атакующим дешифровать перехваченные сообщения, говорит голландский специалист.

whatsapp-logo-1

По словам Алькемейда, проблема не в использовании номера IMEI в качестве пароля (эту уязвимость уже исправили), а в ошибках в реализации криптографической схемы WhatsApp. Это приложение, как известно, неоднократно обвиняли в отсутствии криптографической защиты, и в августе 2012 года в него все-таки добавили шифрование сообщений. Проблема заключается в том, что WhatsApp использует один и тот же ключ для шифрования входящих и исходящих потоков данных между приложением и сервером WhatsApp, говорит Алкемад.

«RC4 – это генератор PRNG (pseudo-random number generator), создающий потоки байт, которые криптуются при помощи обычного текста в шифрованную последовательность. Криптование шифр-текста тем же потоком байт позволяет восстановить текст на сторонней системе путем сравнения зашифрованных данных», – написал специалист в своем блоге.

WhatsApp шифрует разные потоки сообщений одним и тем же ключом и это позволяет вскрывать траффик мессенджера, между тем зашифрованный трафик можно перехватить очень легко, например через открытую WiFi-сеть. «Повторное использование отработанного ключа – это серьезная логическая ошибка в реализации программного кода WhatsApp. Эту ошибку допускали советские спецслужбы в 1950х годах и microsoft в 1995 году в VPN-протоколе», – пишет он.

Алкемад выпустил эксплоит для выявленной уязвимости, который перехватывает пользовательское сообщение на сервер и передает его обратно таким образом, как будто бы это был получен ответ от сервера. По его словам, эксплоит работает на Nokia Series 40 и Android, однако специалист полагает, что и iPhone-версия работает аналогично.

Представители WhatsApp назвали заявления Алькемейда «преувеличенными и нацеленными на сенсацию».

3 комментария

Написать комментарий