С 20 чисел февраля мировое инфопространство забурлило после твита @JordanWildon — журналиста Deutsche Welle, о том, что доступ к приватным чатам можно получить без ведома администраторов чата.
Чаты оказались доступны благодаря функции приглашения в группу по ссылке (Invite to group via link), которую генерирует администратор группы, чтобы добавить новых участников.
Из-за недосмотра разработчиков приложения данные ссылки не были никак зашифрованы, это означает, что любой поисковик мог индексировать эти ссылки, и любой мог перейти по ним. После поднявшейся шумихи, WhatsApp наконец их зашифровал и отправил просьбы к поисковикам убрать из поиска уже проиндексированную информацию. Через несколько дней и Google, а следом за ним и Яндекс удалили ссылки.
Что произошло на самом деле? Ничего нового не произошло, эта «дыра» существует очень давно, скорее всего с момента запуска чатов. И о данной проблеме компания знала точно около 5 лет, возможно и больше. Пользователи неоднократно обращали внимание поддержки на недоработку. Вот один из примеров, от 2016 года.
Опасна уязвимость и тем, что в чатах могут обсуждать действительно конфиденциальную информацию, и тем, что на номера пользователей обрушится новая волна спам-рассылок.
Так что пользователям мессенджера можно рекомендовать прислушаться к совету Павла Дурова:
«WhatsApp не только не защищает ваши сообщения, но и постоянно используется как троянский конь для слежки за вашими фотографиями и сообщениями, которые к WhatsApp не относятся... будьте уверены, уязвимость такого масштаба обязательно будет использована, точно так же, как предыдущий бэкдор WhatsApp использовался против правозащитников и журналистов, достаточно наивных, чтобы быть пользователями WhatsApp. Вне зависимости от истинных намерений материнской компании WhatsApp, рекомендации для конечных пользователей все те же: если вы не хотите, чтобы рано или поздно все ваши фотографии и сообщения стали общедоступными, вы должны удалить WhatsApp со своего телефона»
Совет не новый, но очень актуальный. Бэкдоров в WhatsApp действительно много, и закрыли лишь один из многих. Справедливости ради, необходимо признать, что и ссылки в чаты Viber и Telegram тоже утекали. И ошибок в безопасности также не мало у каждого из этих приложений, их просто ещё никто не опубликовал, а только втихую используют.
Вот пример неосмотрительности самих администраторов и пользователей чатов, которые используют сервисы-копипасты. Тут, увы, никакой вины мессенджеров нет.
Будьте осмотрительнее, ведь то, что вы когда-то написали, вполне может всплыть в Сети и быть прочитано миллионами других людей. Оно вам надо?
Подписывайтесь, чтобы быть в курсе последних новостей.
