The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

13.01.2017 18:20  Уязвимость в WhatsApp, позволяющая перехватывать чужие сообщения

В популярной системе обмена сообщениями WhatsApp выявлена уязвимость, которая позволяет владельцу сервиса (Facebook) и заинтересованным спецслужбам перехватывать и читать сообщения. Проблема вызвана тем, что сервис WhatsApp, без ведома отправителя и получателя сообщений, может принудительно сгенерировать новые ключи для пользователей, которые в данный момент находятся вне сети (offline).

Уязвимость рассматривается некоторыми исследователями безопасности как преднамеренный бэкдор - Facebook был уведомлен о проблеме ещё в апреле прошлого года, но уязвимость до сих пор остаётся не исправлена. Сокрытие проблемы и игнорирование выпуска исправления может стать серьёзным ударом по имиджу WhatsApp, учитывая то, что ранее Facebook заверял пользователей, что применяемое в WhatsApp end-to-end-шифрование исключает любые возможности перехвата сообщений, в том числе персоналом компании. Тем не менее изучение реализации протокола показало, что на деле компания Facebook имеет возможность чтения чужих сообщений, осуществив замену ключа от имени получателя.

Проблема не касается применяемого для организации связи протокола Signal и связана c применяемой в WhatsApp особенностью механизма передачи сообщений пользователям, находящимся в offline. Для end-to-end шифрования сообщений применяются уникальные ключи, которые подтверждены обоими участниками обмена сообщениями. От имени получателя, который в данный момент находится вне сети, может быть анонсирован новый публичный ключ, после чего механизм доставки на стороне отправителя автоматически перекодирует этим новым ключом все сообщения, ожидающие отправки.

Таким образом отправленные сообщения будут зашифрованы не оригинальным ключом собеседника, а подставным ключом, который сгенерирует сервис. При этом собеседник не узнает о том, что адресованные ему сообщения ушли не туда, а отправитель получит уведомление о смене ключа только если явно выставит в настройках соответствующую опцию и то, уведомление будет выведено после отправки с новым ключом. Примечательно, что оригинальная реализация протокола Signal вместо автоматической переотправки с новым ключом, блокирует доставку подобных сообщений и отправляет уведомление отправителю.

Представители сервиса WhatsApp указывают на то, что пользователи имеют возможность включить уведомления о смене ключа в настройках (Settings / Account / Security / Show Security Notifications). Так как процесс смены ключа в большинстве случаев является следствием переустановки приложения или замены смартфона, обеспечивая автоматическую переотправку с новым ключом сервис в первую очередь заботится о том, чтобы все сообщения были доставлены и не потерялись.

  1. Главная ссылка к новости (https://www.theguardian.com/te...)
  2. OpenNews: Проект Tox развивает свободную альтернативу Skype
  3. OpenNews: Twitter открыл код TextSecure для безопасного обмена сообщениями на платформе Android
  4. OpenNews: Dropbox открыл код платформы группового обмена сообщениями Zulip
  5. OpenNews: Выпуск платформы для конфиденциального обмена сообщениями RetroShare 0.6.1
  6. OpenNews: Проект Tor представил прототип защищённого смартфона на платформе Android
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: signal, whatsapp, crypt, privacy
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 18:46, 13/01/2017 [ответить] [смотреть все]    [к модератору]
  • +8 +/
    цирк
     
     
  • 2.10, Аноним, 19:17, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +5 +/
    блондинке-кухарке в опсасносте!!!
     
     
  • 3.20, dq0s4y71, 20:34, 13/01/2017 [^] [ответить] [смотреть все]     [к модератору]
  • –1 +/
    Да, вот как раз недавно блондинки-кухарки на нём погорели - http www kommersan... весь текст скрыт [показать]
     
     
  • 4.31, Аноним, 21:54, 13/01/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    не, блондинки-кухарки разносят новость о том, что кто-то там, якобы, погорел
     
  • 2.50, robux, 11:31, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Если ключи генеряются на сервере, а не на клиенте, то о какой безопасности вобще... весь текст скрыт [показать] [показать ветку]
     
  • 2.61, Аноним, 15:07, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    ...и сколько клоунов в нём (кто этим пользуется).
     
  • 2.78, Аноним, 09:34, 16/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    если уйти от версии бэкдора, то как по другому организовать доставку offline соо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.83, Андрей, 23:08, 16/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Уведомлять отправителя о смене ключа получателя и запрашивать отправителя о необ... весь текст скрыт [показать]
     
  • 1.2, Аноним, 18:47, 13/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +11 +/
    >Проблема не касается применяемого для организации связи протокола Signal

    Может хватит уже пиарить это УГ, к которому даже создание альтернативных клиентов лицензией запрещено? Какая тут безопасность может быть?

     
     
  • 2.19, Дядя, 20:27, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +2 +/
    GPLv3 запрещает альтернативные клиенты? Аноним, ты хорошо себя чувствуешь?
     
     
  • 3.23, sage, 20:42, 13/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Увы, Moxie яро против альтернативных клиентов, использующих их серверы это важн... весь текст скрыт [показать]
     
     
  • 4.26, Дядя, 21:04, 13/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я это знаю, и теоретически осуждаю - Но, это совершенно не равнозначно утвержд... весь текст скрыт [показать]
     
  • 4.27, Дядя, 21:15, 13/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Кстати, серверная часть висит на GitHub https github com WhisperSystems Signa... весь текст скрыт [показать]
     
  • 4.33, username, 22:05, 13/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Он там вполне четко говорит, разворачивайте свой сервер и пользуйте свой клиент,... весь текст скрыт [показать]
     
  • 4.39, Омоним, 23:32, 13/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Серверная часть у Сигнала вполне себе opensource, это вы с Телеграмом перепутали... весь текст скрыт [показать]
     
  • 4.74, anonymous, 21:05, 15/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Послать его в пешее эротическое Он не имеет права диктовать, какой код нам испо... весь текст скрыт [показать]
     
     
  • 5.84, Аноним, 23:45, 16/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Он имеет право диктовать практически что угодно в рамках своей инфраструктуры, е... весь текст скрыт [показать]
     
  • 2.35, Parsee, 23:08, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Альтернативные реализации открытого протокола запретить никто не может Axolotl ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.41, Омоним, 23:36, 13/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Бесполезно спорить Наш Аноним не смог даже зайти на GitHub, чтобы посмотреть ка... весь текст скрыт [показать]
     
     
  • 4.53, Аноним, 13:00, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Какая разница в контексте поддержания связи людьми, сможете ли вы технически под... весь текст скрыт [показать]
     
     
  • 5.65, Дядя, 15:59, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Честно, вы читаете перед тем, как комментировать В этой ветке разговор о Signal... весь текст скрыт [показать]
     
  • 2.47, Аноним, 03:57, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Ну как бы можно получается WhatsApp протокол же использует ... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Timur I. Davletshin, 18:49, 13/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +7 +/
    Вот они последствия того, что клиент и сервер имеют одного разработчика. Аналогичная претензия относится к web-клиентам вроде тех же Telegram, Wire, Skype на Electron. Производитель ПО может без вашего ведома изменить алгоритм работы программы и все ваши зашифрованные разговоры будут известны большому брату. Только XMPP, PGP, S/MIME.
     
     
  • 2.8, rshadow, 19:13, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    У телеграма клиент опенсорсный на гитхабе лежит В XMPP протоколе есть все, но к... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.16, Аноним, 20:06, 13/01/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Pidgin? Conversation? Xabber?
     
     
  • 4.22, ram_scan, 20:39, 13/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    XMPP это такая-же мутная ботва как и SIP Каждый понаписал и понапродвинул своих... весь текст скрыт [показать]
     
  • 3.21, Аноним, 20:35, 13/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Опенсурс код клиента Телеграма выложили только один раз год назад, больше его ни... весь текст скрыт [показать]
     
     
  • 4.24, ram_scan, 20:43, 13/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Так оно вродеж вполне обратно совместимо Кто не одепт блидинг эдж тот сидит на... весь текст скрыт [показать]
     
  • 4.66, Укпшд, 16:53, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    https github com telegramdesktop tdesktop Сдается мне, что анонимус просто вре... весь текст скрыт [показать]
     
  • 2.11, Аноним, 19:20, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    irc забыл. он так должен быть номер 1, по идее
     
     
  • 3.62, Аноним, 15:17, 14/01/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    С зоопарком русских кодировок как в 1990-е? Не, не нужно.
     
     
  • 4.75, Аноним, 21:31, 15/01/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    > С зоопарком русских кодировок как в 1990-е? Не, не нужно.

    Use utf-8, Luke.

     
  • 2.12, Аноним, 19:24, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    А что скажете насчет Ostel с клиентом Jitsi Правда, чат там идет нормально, а г... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 18:54, 13/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    > и другим заинтересованным спецслужбам

    Тонко.

     
     
  • 2.7, Аноним, 18:56, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Просто свое комьюнити с опенсорцом для спецслужб.
     
  • 1.9, Аноним, 19:13, 13/01/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    Эти истории будут повторяться, до тех пор, пока люди не осознают всю серьезность... весь текст скрыт [показать]
     
     
  • 2.13, dimqua, 19:43, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +3 +/
    Кто ищет, тот найдет.
     
  • 2.37, Parsee, 23:19, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Сейчас эпоха мобильных клиентов, им необходимо тратить как можно меньше батареи ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, Crazy Alex, 02:42, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Стоит только предположить, что в сети есть довольно приличная доля вполне себе с... весь текст скрыт [показать]
     
     
  • 4.59, Sw00p aka Jerom, 15:01, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ага то есть мне нуно купить мобильник у которого батарейка сутки не держит то е... весь текст скрыт [показать]
     
  • 2.70, matrix, 23:30, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    http://matrix.org/
     
  • 1.14, Аноним, 19:53, 13/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Ну так для каких то конф. переписок использовать tox, чем он плох?
     
     
  • 2.29, Аноним, 21:30, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    https news ycombinator com item id 13392128 https github com TokTok c-toxcor... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Crazy Alex, 03:08, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Ужасная атака, да Если у тебя увели секретный ключ - это так или иначе тапки, я... весь текст скрыт [показать]
     
  • 2.38, Parsee, 23:28, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В Tox нет офлайн сообщений мультидевайса Адаптированности для мобильных ус... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.43, Аноним, 00:49, 14/01/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    В IRC вроде же тоже нет офлайн сообщений...
     
     
  • 4.44, Аноним, 01:06, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    В сетях с сервисами ChanServ, etc часто есть MemoServ Ну и разумеется админ... весь текст скрыт [показать]
     
     
  • 5.71, Аноним, 13:54, 15/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    для секретных заклинаний есть почта крипто, а принцип что знают двое знает и сви... весь текст скрыт [показать]
     
     
  • 6.76, Аноним, 21:34, 15/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Так это, если человек онлайн - можно otr допустим использовать В принципе он до... весь текст скрыт [показать]
     
  • 3.63, Аноним, 15:23, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    1 В P2P IM оффлайн сообщениями должны заниматься сами клиенты Других _безопаны... весь текст скрыт [показать]
     
     
  • 4.67, Parsee, 16:58, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    1 Это так и это проблема Для меня, по крайней мере Решение QTox не подходит ... весь текст скрыт [показать]
     
     
  • 5.77, Аноним, 21:39, 15/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Тут на самом деле вопрос в том кому они принадлежат, насколько сложно это получа... весь текст скрыт [показать]
     
  • 4.81, J.L., 18:17, 16/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    который год ждём жаббер2, блин... весь текст скрыт [показать]
     
  • 1.15, Аноним, 19:58, 13/01/2017 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    и, буквально, в тот же день на ленте 06 28, 13 января 2017 Чеченские силовики ... весь текст скрыт [показать]
     
  • 1.17, Аноним, 20:07, 13/01/2017 [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Никогда не воспринимал попсовые закрытые интернет мессенджеры иначе чем более де... весь текст скрыт [показать]
     
     
  • 2.40, Parsee, 23:36, 13/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Внутри всех этих мессенджеров нормальный криптографический протокол https en w... весь текст скрыт [показать] [показать ветку]
     
  • 1.18, Michael Shigorin, 20:15, 13/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    "Никогда такого не было..." (ц)
     
  • 1.32, Аноним, 22:04, 13/01/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    А что скажете насчет Ostel с клиентом Jitsi Правда, чат там идет нормально, а г... весь текст скрыт [показать]
     
  • 1.42, Аноним, 00:38, 14/01/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    Т е сообщение прийдёт собеседнику даже в случае перехвата и оффлайна Это же на... весь текст скрыт [показать]
     
  • 1.48, Аноним, 04:04, 14/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Кто бы сомневался. Все проприетарные мессангеры - ненужно
     
  • 1.49, robux, 11:25, 14/01/2017 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Если ключи генеряются на сервере, а не на клиенте, то о какой безопасности вобще можно говорить?! Это же голимый лохотрон!
     
     
  • 2.51, Аноним, 12:09, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Исходники опенсорса тоже генерятся на стороне кем-то не тобой...
     
     
  • 3.58, robux, 14:41, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ты щас это к чему сморозил Разницу между приватными ключами и публичными исходн... весь текст скрыт [показать]
     
     
  • 4.64, Аноним, 15:54, 14/01/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    То что безопасности нету - ты не понял
     
     
  • 5.72, robux, 15:27, 15/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Если ты не чуешь разницу между приватными ключами и публичными исходниками, то к... весь текст скрыт [показать]
     
  • 2.68, Parsee, 17:12, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    На клиенте, разумеется Проблема в том, что в этом клиенте по умолчанию вы довер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.79, robux, 09:43, 16/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    А кто генеряет новые ключи ранее доверенного контакта , если этот контакт даж... весь текст скрыт [показать]
     
     
  • 4.80, Parsee, 17:38, 16/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ты протокол не читал В этом протоколе у контакта может быть множество ключей-ус... весь текст скрыт [показать]
     
  • 1.52, fLegmatik, 12:44, 14/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Если вдруг кто-то ищет im-систему, которая имеет:
    - свободные клиенты для современных мобил и современных (важно!) десктопов,
    - свободную серверную часть,
    - федерацию децентрализованных серверов,
    - возможность включения e2e-шифрования (пока экспериментального),
    - синхронизацию сообщений между всеми клиентами одного пользователя,
    - работоспособные современные фичи вроде аудио- и видеозвонков, предпросмотра ссылок, картинок, удаления своих ошибочных сообщений, отправки сообщений офлайн-контактам (т.е. не такая древняя как irc и не такая несостыкованная как jabber),
    - возможность гейтования с некоторыми ирк-сетями, слаком
    и много чего ещё, то заглядывайте к нам на огонёк
    https://riot.im/app/#/room/#ru.matrix:matrix.org -- расскажем и покажем что к чему.
     
  • 1.54, Sw00p aka Jerom, 13:27, 14/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    пыль в глаза эта ваша end-to-end криптография
    им важней доставка сообщения нежели безопасная доставка.
     
     
  • 2.56, Elhana, 14:00, 14/01/2017 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Они это так и прокомментировали https whispersystems org blog there-is-no-wha... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, Sw00p aka Jerom, 14:21, 14/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    думаете большинство людей понимают когда внезапно в окне чата написано - Поздра... весь текст скрыт [показать]
     
     
  • 4.85, Stellarwind, 16:11, 17/01/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Если они не понимают, то им это не нужно Об этом и речь, что было бы неправильн... весь текст скрыт [показать]
     
  • 3.86, Аноним, 10:30, 19/01/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Честна-честна, клянуся щито нету тама бикдорав, чесна!!11 Рубаху рву!1
     
  • 1.60, Аноним, 15:02, 14/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +/
    Ну что, как говорится, кто бы сомневался.
     
  • 1.73, stainlessrat, 16:16, 15/01/2017 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    "Уж сколько раз твердили миру" (басня И.А. Крылова "Ворона и лисица")
    Как только Вы вывешиваете свои "трусы" в инете, не зависимо с шифрованием или без, эти "труселя" видят ВСЕ !!! И как говорил осёл Иа "Удивляться не приходится" :)
     
  • 1.87, Andrey Mitrofanov, 11:28, 21/01/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    2016-12-28 Michael Phoronix Larabel FreeBSD Foundation Receives Another ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor