WhatsApp является популярным, но популярность не обязательно идет рука об руку с безопасностью. Посмотрим, что с ним не так.
Что такое WhatsApp?
WhatsApp-это один из самых популярных мессенджеров. Одним из создателей является Ян Кум, который является одновременно генеральным директором компании. Коммуникатор доступен и на Android, как и iOS от Apple.
Позволяет не только традиционный чат, но и групповой. Приложение также поддерживает шифрование сообщений, которые, однако, не обязательно работает как надо.
WhatsApp не совсем безопасный
На блоге fileprems появился подробный пост, объясняя каждую уязвимость в WhatsApp. Конечно, здесь мы не будем переводить весь текст, потому что он доступен по этому адресу, однако, в целом, поясним, о чем идет речь.
Первой проблемой является именно шифрование. До августа 2012 года сообщения, отправляемые с помощью приложения" не были вообще шифруются - отправлены и получены они были в виде чистого текста. С помощью WhatsApp, будучи подключенным к общественной сети wi-fi narażaliśmy на то, что каждый мог увидеть , о чем и с кем мы пишем, а также можно было просматривать передачи файлов.
Несмотря на заверения разработчиков о том, что в настоящее время последняя версия приложения представил шифрование данных, оказывается, что и так не работает оно до конца так, как и должно быть (скрин ниже).
Вторым неудобством является авторизация. Android пароль является бог md5 перевернутого номера IMEI.
В случае iOS-а пароль генерируется на основе MAC-адрес WLAN:
Имя пользователя-это просто номер телефона. Адрес IMEI можно получить, взяв телефон в руки, а MAC-адрес можно проверить подключив к сети WLAN Что это значит? Доступ к данным учетной записи WhatsApp является очень простой.
Конфиденциальность. Автор статьи обратил внимание, что после запуска приложения WhatsApp, передает она всю нашу телефонную книгу на свои серверы и проверять, какие номера зарегистрированы в сети WhatsApp. Такой запрос выглядит следующим образом:
$countrycode = the country calling code
$yournumber = while this SHOULD be your number, it is not required, the API will accept any number
$friendX = phone number (without the country calling code) from the address book that will be checked, у[] is an array so it is possible to check multiple numbers with one request
Сервер возвращает ответ в виде XML файла, в котором каждый номер виден как на ладони, так же, как и статусы пользователей в ли данные JabberID. Структура такого файла выглядит так (П:номер телефона, S: статус пользователя, JID: JabberID):
Последним недопустимым является шифрование локальной базы данных.
Несмотря на то, что требует физического доступа к телефону или наличия его полной резервной копии, стоит обратить внимание на то, что при помощи специальных методов можно расшифровать всю историю звонков, приложений WhatsApp.