В мессенджерах WhatsApp и Viber были найдены уязвимости, позволяющие обойти защиту и читать переписку или прослушивать чужие разговоры.
Учёный из Калифорнийского университета Тобиас Болтер обнаружил в WhatsApp лазейку, которая позволяет перехватывать сообщения пользователей с помощью изменения ключей шифрования. Баг связан с особенностями работы двухстороннего шифрования, которое появилось в WhatsApp в апреле 2016 года. Эта функция предполагает, что данные расшифровываются на устройствах пользователей, а доступа к ним нет даже у сотрудников WhatsApp.
Болтер доказал, что это неправда — компания может генерировать ключи для расшифровки переписки пользователей, которые находятся в офлайне. Впоследствии месседжер заново шифрует переписку новым ключом и помечает сообщения как «доставленные». Отправитель может узнать о повторном шифровании только в том случае, если в настройках приложения активированы уведомления о подозрительных действиях с ключами шифрования. Болтер уверен, что WhatsApp может предоставлять ключи правоохранительным органам, которые получат доступ не к отдельным диалогам, а ко всей переписке пользователя.
Болтер сообщал разработчикам об этой уязвимости ещё в апреле 2016 года, но она не была устранена. Сейчас они говорят, что это — фича, которая позволяет пользователям восстанавливать переписку после смены смартфона или SIM-карты, а ключи шифрования генерируются на сервере компании для того, чтобы сообщения не терялись в пути.
Об уязвимости в Viber рассказал пользователь Хабрахабра пол ником tambovchanin. Он выяснил, что пользователи Viber могут подслушивать чужие разговоры по сотовой связи. Когда два пользователя общаются по аудиосвязи и одному из них поступает звонок через мобильную сеть, он может поставить разговор в приложении на удержание. Если другой абонент дважды нажмет на кнопку удержания звонка на своем смартфоне, у него появится возможность подслушать разговор своего собеседника с другим человеком по мобильной сети.
Разработчики Viber узнали об этой уязвимости ещё в октябре 2016 года, но продолжительное время не обращали на неё внимание, несмотря на то, что с тех пор вышло несколько обновлений приложения. В версии Viber на Android этой уязвимости уже нет, а на iOS и BlackBerry она всё ещё присутствует.
Комментарий Viber:
Viber очень серьезно относится к вопросам конфиденциальности — мы сосредоточились на решении этой проблемы, как только она была обнаружена. Решение было найдено давно, несколько месяцев назад, однако не было должным образом доведено до сведения пользователя, и мы приносим свои извинения за это.
