Исследователи выявили серьезную уязвимость в системе групповых чатов WhatsApp, которая может позволить серверу мессенджера добавлять новых участников без ведома остальных пользователей.
Исследование, проведенное группой британских аналитиков Мартином Альбрехтом, Бенджамином Даулингом и Дэниэлом Джонсом из Королевского колледжа Лондона и Университета Лондона, включало обратную разработку протоколов, описание криптографических механизмов и математическую верификацию устойчивости WhatsApp.
Специалисты обратили внимание на то, что в групповых чатах WhatsApp не реализует криптографическую верификацию при добавлении новых участников. Таким образом, сервер мессенджера сам может добавить любого пользователя в любой чат, а участники не смогут помешать этому или верифицировать, кто изменил состав группы. В итоге любой человек, имеющий контроль над серверной частью или возможность подменить сообщение, например сотрудник Whatsapp или хакер, может незаметно внедрить нового участника в чат. Участники увидят системное уведомление о добавлении нового контакта в чат, но не смогут выяснить, кто именно отправил приглашение.
"Одна из самых непростых и до сих пор нерешенных задач – это регулирование мессенджеров. Сервисы обмена сообщениями, особенно иностранные, продолжают оставаться фактически вне зоны прозрачного контроля", – отметил первый зампред комитета Совфеда по конституционному законодательству Артем Шейкин.
По его словам, это результат сознательной политики крупных ИТ-компаний, которые создают привлекательный внешний контур при минимуме обязательств перед пользователями.
"С учетом того, как устроен WhatsApp, всерьез думать о конфиденциальности просто не приходится. Вместо настоящей защиты разработчики просто отдали все управление серверу", – заявил член Общественного совета при Минцифры России Владимир Маслов.
Эксперты подчеркивают, что такие уязвимости могут использоваться для слежки или утечек информации, и рекомендуют обратить внимание на российские разработки в этой сфере.
