The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

13.01.2017 18:20  Уязвимость в WhatsApp, позволяющая перехватывать чужие сообщения

В популярной системе обмена сообщениями WhatsApp выявлена уязвимость, которая позволяет владельцу сервиса (Facebook) и заинтересованным спецслужбам перехватывать и читать сообщения. Проблема вызвана тем, что сервис WhatsApp, без ведома отправителя и получателя сообщений, может принудительно сгенерировать новые ключи для пользователей, которые в данный момент находятся вне сети (offline).

Уязвимость рассматривается некоторыми исследователями безопасности как преднамеренный бэкдор - Facebook был уведомлен о проблеме ещё в апреле прошлого года, но уязвимость до сих пор остаётся не исправлена. Сокрытие проблемы и игнорирование выпуска исправления может стать серьёзным ударом по имиджу WhatsApp, учитывая то, что ранее Facebook заверял пользователей, что применяемое в WhatsApp end-to-end-шифрование исключает любые возможности перехвата сообщений, в том числе персоналом компании. Тем не менее изучение реализации протокола показало, что на деле компания Facebook имеет возможность чтения чужих сообщений, осуществив замену ключа от имени получателя.

Проблема не касается применяемого для организации связи протокола Signal и связана c применяемой в WhatsApp особенностью механизма передачи сообщений пользователям, находящимся в offline. Для end-to-end шифрования сообщений применяются уникальные ключи, которые подтверждены обоими участниками обмена сообщениями. От имени получателя, который в данный момент находится вне сети, может быть анонсирован новый публичный ключ, после чего механизм доставки на стороне отправителя автоматически перекодирует этим новым ключом все сообщения, ожидающие отправки.

Таким образом отправленные сообщения будут зашифрованы не оригинальным ключом собеседника, а подставным ключом, который сгенерирует сервис. При этом собеседник не узнает о том, что адресованные ему сообщения ушли не туда, а отправитель получит уведомление о смене ключа только если явно выставит в настройках соответствующую опцию и то, уведомление будет выведено после отправки с новым ключом. Примечательно, что оригинальная реализация протокола Signal вместо автоматической переотправки с новым ключом, блокирует доставку подобных сообщений и отправляет уведомление отправителю.

Представители сервиса WhatsApp указывают на то, что пользователи имеют возможность включить уведомления о смене ключа в настройках (Settings / Account / Security / Show Security Notifications). Так как процесс смены ключа в большинстве случаев является следствием переустановки приложения или замены смартфона, обеспечивая автоматическую переотправку с новым ключом сервис в первую очередь заботится о том, чтобы все сообщения были доставлены и не потерялись.

  1. Главная ссылка к новости (https://www.theguardian.com/te...)
  2. OpenNews: Проект Tox развивает свободную альтернативу Skype
  3. OpenNews: Twitter открыл код TextSecure для безопасного обмена сообщениями на платформе Android
  4. OpenNews: Dropbox открыл код платформы группового обмена сообщениями Zulip
  5. OpenNews: Выпуск платформы для конфиденциального обмена сообщениями RetroShare 0.6.1
  6. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: signal, whatsapp, crypt, privacy
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 18:46, 13/01/2017 [ответить] [смотреть все]
  • +8 +/
    цирк
     
     
  • 2.10, Аноним, 19:17, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +5 +/
    блондинке-кухарке в опсасносте!!!
     
     
  • 3.20, dq0s4y71, 20:34, 13/01/2017 [^] [ответить] [смотреть все]
  • –1 +/
    Да, вот как раз недавно блондинки-кухарки на нём погорели - http www kommersan... весь текст скрыт [показать]
     
     
  • 4.31, Аноним, 21:54, 13/01/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    не, блондинки-кухарки разносят новость о том, что кто-то там, якобы, погорел
     
  • 2.50, robux, 11:31, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Если ключи генеряются на сервере, а не на клиенте, то о какой безопасности вобще... весь текст скрыт [показать] [показать ветку]
     
  • 2.61, Аноним, 15:07, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ...и сколько клоунов в нём (кто этим пользуется).
     
  • 2.78, Аноним, 09:34, 16/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    если уйти от версии бэкдора, то как по другому организовать доставку offline соо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.83, Андрей, 23:08, 16/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Уведомлять отправителя о смене ключа получателя и запрашивать отправителя о необ... весь текст скрыт [показать]
     
  • 1.2, Аноним, 18:47, 13/01/2017 [ответить] [смотреть все]  
  • +11 +/
    >Проблема не касается применяемого для организации связи протокола Signal

    Может хватит уже пиарить это УГ, к которому даже создание альтернативных клиентов лицензией запрещено? Какая тут безопасность может быть?

     
     
  • 2.19, Дядя, 20:27, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    GPLv3 запрещает альтернативные клиенты? Аноним, ты хорошо себя чувствуешь?
     
     
  • 3.23, sage, 20:42, 13/01/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Увы, Moxie яро против альтернативных клиентов, использующих их серверы это важн... весь текст скрыт [показать]
     
     
  • 4.26, Дядя, 21:04, 13/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Я это знаю, и теоретически осуждаю - Но, это совершенно не равнозначно утвержд... весь текст скрыт [показать]
     
  • 4.27, Дядя, 21:15, 13/01/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Кстати, серверная часть висит на GitHub https github com WhisperSystems Signa... весь текст скрыт [показать]
     
  • 4.33, username, 22:05, 13/01/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Он там вполне четко говорит, разворачивайте свой сервер и пользуйте свой клиент,... весь текст скрыт [показать]
     
  • 4.39, Омоним, 23:32, 13/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Серверная часть у Сигнала вполне себе opensource, это вы с Телеграмом перепутали... весь текст скрыт [показать]
     
  • 4.74, anonymous, 21:05, 15/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Послать его в пешее эротическое Он не имеет права диктовать, какой код нам испо... весь текст скрыт [показать]
     
     
  • 5.84, Аноним, 23:45, 16/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Он имеет право диктовать практически что угодно в рамках своей инфраструктуры, е... весь текст скрыт [показать]
     
  • 2.35, Parsee, 23:08, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Альтернативные реализации открытого протокола запретить никто не может Axolotl ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Омоним, 23:36, 13/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Бесполезно спорить Наш Аноним не смог даже зайти на GitHub, чтобы посмотреть ка... весь текст скрыт [показать]
     
     
  • 4.53, Аноним, 13:00, 14/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Какая разница в контексте поддержания связи людьми, сможете ли вы технически под... весь текст скрыт [показать]
     
     
  • 5.65, Дядя, 15:59, 14/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Честно, вы читаете перед тем, как комментировать В этой ветке разговор о Signal... весь текст скрыт [показать]
     
  • 2.47, Аноним, 03:57, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну как бы можно получается WhatsApp протокол же использует ... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Timur I. Davletshin, 18:49, 13/01/2017 [ответить] [смотреть все]  
  • +7 +/
    Вот они последствия того, что клиент и сервер имеют одного разработчика. Аналогичная претензия относится к web-клиентам вроде тех же Telegram, Wire, Skype на Electron. Производитель ПО может без вашего ведома изменить алгоритм работы программы и все ваши зашифрованные разговоры будут известны большому брату. Только XMPP, PGP, S/MIME.
     
     
  • 2.8, rshadow, 19:13, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    У телеграма клиент опенсорсный на гитхабе лежит В XMPP протоколе есть все, но к... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 20:06, 13/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Pidgin? Conversation? Xabber?
     
     
  • 4.22, ram_scan, 20:39, 13/01/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    XMPP это такая-же мутная ботва как и SIP Каждый понаписал и понапродвинул своих... весь текст скрыт [показать]
     
  • 3.21, Аноним, 20:35, 13/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Опенсурс код клиента Телеграма выложили только один раз год назад, больше его ни... весь текст скрыт [показать]
     
     
  • 4.24, ram_scan, 20:43, 13/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Так оно вродеж вполне обратно совместимо Кто не одепт блидинг эдж тот сидит на... весь текст скрыт [показать]
     
  • 4.66, Укпшд, 16:53, 14/01/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    https github com telegramdesktop tdesktop Сдается мне, что анонимус просто вре... весь текст скрыт [показать]
     
  • 2.11, Аноним, 19:20, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    irc забыл. он так должен быть номер 1, по идее
     
     
  • 3.62, Аноним, 15:17, 14/01/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    С зоопарком русских кодировок как в 1990-е? Не, не нужно.
     
     
  • 4.75, Аноним, 21:31, 15/01/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    > С зоопарком русских кодировок как в 1990-е? Не, не нужно.

    Use utf-8, Luke.

     
  • 2.12, Аноним, 19:24, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А что скажете насчет Ostel с клиентом Jitsi Правда, чат там идет нормально, а г... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 18:54, 13/01/2017 [ответить] [смотреть все]  
  • +2 +/
    > и другим заинтересованным спецслужбам

    Тонко.

     
     
  • 2.7, Аноним, 18:56, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Просто свое комьюнити с опенсорцом для спецслужб.
     
  • 1.9, Аноним, 19:13, 13/01/2017 [ответить] [смотреть все]  
  • +/
    Эти истории будут повторяться, до тех пор, пока люди не осознают всю серьезность... весь текст скрыт [показать]
     
     
  • 2.13, dimqua, 19:43, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Кто ищет, тот найдет.
     
  • 2.37, Parsee, 23:19, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Сейчас эпоха мобильных клиентов, им необходимо тратить как можно меньше батареи ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, Crazy Alex, 02:42, 14/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Стоит только предположить, что в сети есть довольно приличная доля вполне себе с... весь текст скрыт [показать]
     
     
  • 4.59, Sw00p aka Jerom, 15:01, 14/01/2017 [^] [ответить] [смотреть все]  
  • +/
    ага то есть мне нуно купить мобильник у которого батарейка сутки не держит то е... весь текст скрыт [показать]
     
  • 2.70, matrix, 23:30, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    http://matrix.org/
     
  • 1.14, Аноним, 19:53, 13/01/2017 [ответить] [смотреть все]  
  • +3 +/
    Ну так для каких то конф. переписок использовать tox, чем он плох?
     
     
  • 2.29, Аноним, 21:30, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    https news ycombinator com item id 13392128 https github com TokTok c-toxcor... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Crazy Alex, 03:08, 14/01/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ужасная атака, да Если у тебя увели секретный ключ - это так или иначе тапки, я... весь текст скрыт [показать]
     
  • 2.38, Parsee, 23:28, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В Tox нет офлайн сообщений мультидевайса Адаптированности для мобильных ус... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, Аноним, 00:49, 14/01/2017 [^] [ответить] [смотреть все]  
  • +/
    В IRC вроде же тоже нет офлайн сообщений...
     
     
  • 4.44, Аноним, 01:06, 14/01/2017 [^] [ответить] [смотреть все]  
  • +/
    В сетях с сервисами ChanServ, etc часто есть MemoServ Ну и разумеется админ... весь текст скрыт [показать]
     
     
  • 5.71, Аноним, 13:54, 15/01/2017 [^] [ответить] [смотреть все]  
  • +/
    для секретных заклинаний есть почта крипто, а принцип что знают двое знает и сви... весь текст скрыт [показать]
     
     
  • 6.76, Аноним, 21:34, 15/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Так это, если человек онлайн - можно otr допустим использовать В принципе он до... весь текст скрыт [показать]
     
  • 3.63, Аноним, 15:23, 14/01/2017 [^] [ответить] [смотреть все]  
  • +/
    1 В P2P IM оффлайн сообщениями должны заниматься сами клиенты Других _безопаны... весь текст скрыт [показать]
     
     
  • 4.67, Parsee, 16:58, 14/01/2017 [^] [ответить] [смотреть все]  
  • +/
    1 Это так и это проблема Для меня, по крайней мере Решение QTox не подходит ... весь текст скрыт [показать]
     
     
  • 5.77, Аноним, 21:39, 15/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Тут на самом деле вопрос в том кому они принадлежат, насколько сложно это получа... весь текст скрыт [показать]
     
  • 4.81, J.L., 18:17, 16/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    который год ждём жаббер2, блин... весь текст скрыт [показать]
     
  • 1.15, Аноним, 19:58, 13/01/2017 [ответить] [смотреть все]  
  • –1 +/
    и, буквально, в тот же день на ленте 06 28, 13 января 2017 Чеченские силовики ... весь текст скрыт [показать]
     
  • 1.17, Аноним, 20:07, 13/01/2017 [ответить] [смотреть все]  
  • +5 +/
    Никогда не воспринимал попсовые закрытые интернет мессенджеры иначе чем более де... весь текст скрыт [показать]
     
     
  • 2.40, Parsee, 23:36, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Внутри всех этих мессенджеров нормальный криптографический протокол https en w... весь текст скрыт [показать] [показать ветку]
     
  • 1.18, Michael Shigorin, 20:15, 13/01/2017 [ответить] [смотреть все]  
  • +/
    "Никогда такого не было..." (ц)
     
  • 1.32, Аноним, 22:04, 13/01/2017 [ответить] [смотреть все]  
  • +/
    А что скажете насчет Ostel с клиентом Jitsi Правда, чат там идет нормально, а г... весь текст скрыт [показать]
     
  • 1.42, Аноним, 00:38, 14/01/2017 [ответить] [смотреть все]  
  • +/
    Т е сообщение прийдёт собеседнику даже в случае перехвата и оффлайна Это же на... весь текст скрыт [показать]
     
  • 1.48, Аноним, 04:04, 14/01/2017 [ответить] [смотреть все]  
  • +/
    Кто бы сомневался. Все проприетарные мессангеры - ненужно
     
  • 1.49, robux, 11:25, 14/01/2017 [ответить] [смотреть все]  
  • –2 +/
    Если ключи генеряются на сервере, а не на клиенте, то о какой безопасности вобще можно говорить?! Это же голимый лохотрон!
     
     
  • 2.51, Аноним, 12:09, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Исходники опенсорса тоже генерятся на стороне кем-то не тобой...
     
     
  • 3.58, robux, 14:41, 14/01/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Ты щас это к чему сморозил Разницу между приватными ключами и публичными исходн... весь текст скрыт [показать]
     
     
  • 4.64, Аноним, 15:54, 14/01/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    То что безопасности нету - ты не понял
     
     
  • 5.72, robux, 15:27, 15/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Если ты не чуешь разницу между приватными ключами и публичными исходниками, то к... весь текст скрыт [показать]
     
  • 2.68, Parsee, 17:12, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    На клиенте, разумеется Проблема в том, что в этом клиенте по умолчанию вы довер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.79, robux, 09:43, 16/01/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    А кто генеряет новые ключи ранее доверенного контакта , если этот контакт даж... весь текст скрыт [показать]
     
     
  • 4.80, Parsee, 17:38, 16/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Ты протокол не читал В этом протоколе у контакта может быть множество ключей-ус... весь текст скрыт [показать]
     
  • 1.52, fLegmatik, 12:44, 14/01/2017 [ответить] [смотреть все]  
  • +/
    Если вдруг кто-то ищет im-систему, которая имеет:
    - свободные клиенты для современных мобил и современных (важно!) десктопов,
    - свободную серверную часть,
    - федерацию децентрализованных серверов,
    - возможность включения e2e-шифрования (пока экспериментального),
    - синхронизацию сообщений между всеми клиентами одного пользователя,
    - работоспособные современные фичи вроде аудио- и видеозвонков, предпросмотра ссылок, картинок, удаления своих ошибочных сообщений, отправки сообщений офлайн-контактам (т.е. не такая древняя как irc и не такая несостыкованная как jabber),
    - возможность гейтования с некоторыми ирк-сетями, слаком
    и много чего ещё, то заглядывайте к нам на огонёк
    https://riot.im/app/#/room/#ru.matrix:matrix.org -- расскажем и покажем что к чему.
     
  • 1.54, Sw00p aka Jerom, 13:27, 14/01/2017 [ответить] [смотреть все]  
  • +/
    пыль в глаза эта ваша end-to-end криптография
    им важней доставка сообщения нежели безопасная доставка.
     
     
  • 2.56, Elhana, 14:00, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Они это так и прокомментировали https whispersystems org blog there-is-no-wha... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, Sw00p aka Jerom, 14:21, 14/01/2017 [^] [ответить] [смотреть все]  
  • +/
    думаете большинство людей понимают когда внезапно в окне чата написано - Поздра... весь текст скрыт [показать]
     
     
  • 4.85, Stellarwind, 16:11, 17/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Если они не понимают, то им это не нужно Об этом и речь, что было бы неправильн... весь текст скрыт [показать]
     
  • 3.86, Аноним, 10:30, 19/01/2017 [^] [ответить] [смотреть все]  
  • +/
    Честна-честна, клянуся щито нету тама бикдорав, чесна!!11 Рубаху рву!1
     
  • 1.60, Аноним, 15:02, 14/01/2017 [ответить] [смотреть все]  
  • +/
    Ну что, как говорится, кто бы сомневался.
     
  • 1.73, stainlessrat, 16:16, 15/01/2017 [ответить] [смотреть все]  
  • +1 +/
    "Уж сколько раз твердили миру" (басня И.А. Крылова "Ворона и лисица")
    Как только Вы вывешиваете свои "трусы" в инете, не зависимо с шифрованием или без, эти "труселя" видят ВСЕ !!! И как говорил осёл Иа "Удивляться не приходится" :)
     
  • 1.87, Andrey Mitrofanov, 11:28, 21/01/2017 [ответить] [смотреть все]  
  • +/
    2016-12-28 Michael Phoronix Larabel FreeBSD Foundation Receives Another ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor