Найти в Дзене
Хранилище Технологий
8 подписчиков

WhatsApp – это троян!

61
4 мин
Дуров написал :
WhatsApp не только не защищает ваши сообщения WhatsApp – это приложение постоянно используется в качестве трояна для слежки за фото и сообщениями, которые не относятся к WhatsApp. Зачем им [разработчикам] это делать? Facebook был частью программ слежки задолго до того, как купил WhatsApp.
Разработчик Telegram подчеркнул: все баги, которые находят в WhatsApp, идеально подходят для
Оглавление

Как устроен WhatsApp, вообще неизвестно

WhatsApp – мессенджер с закрытым исходным кодом. В целом для коммерческих приложений это нормально. Но продукты с открытым исходным кодом внушают больше доверия.

В WhatsApp вы не можете посмотреть, чем новая версия отличается от предшественницы. Не можете проанализировать код и найти бэкдоры.

Специалисты ищут уязвимости в WhatsApp, исходя из поведения готового продукта. Это не дает увидеть полной картины.

Более того: разработчики WhatsApp обфрусцируют код . Его специально запутывают, чтобы усложнить анализ.

Скорее всего, это сделано по требованию спецслужб. От WhatsApp и материнской компании Facebook могли потребовать оставить в ПО бэкдоры . И если компании отправили ФБР о неразглашении Цукерберг даже в Спортлото общественности пожаловаться не может.

WhatsApp был изначально полон дыр в безопасности

Создатели WhatsApp заявляли , что “безопасность у него в ДНК ”. Но всё оказалось с точностью наоборот .

Например, в 2011-2012 годах доступ к вашей переписке в WhatsApp могли получить даже мобильные провайдеры и администраторы Wi-Fi точек . Ключи шифрования одно время можно было подменить  прямо в чате . Вряд ли тестировщики компании этого не замечали.

Когда внедрили стандартное  шифрование, ключи сделали доступными некоторым правительствам. Но резервные копии данных, которые настойчиво предлагали сохранять в облаке, никто не шифровал .

Сквозное  шифрование, которое интегрировали в апреле 2016 года и которое используется сегодня, тоже не спасает от кражи данных. Например, разработчики признали, что бекапы на Google Drive загружали без шифрования .

Да, метаданные разговоров мессенджер тоже передавал властям. Из них можно понять, когда и с кем вы общались.

А ещё в 2013 году исследователи установили , что WhatsApp копировал все мобильные номера телефонов из адресной книги на свои сервера. Формально чтобы показать, кто из них уже установил WhatsApp. Реально… с этими данными можно было сделать что угодно.

На сервера WhatsApp попали и номера пользователей, которые не устанавливали приложение. К тому же при отправке использовалась ненадежная схема. Расшифровать данные даже на домашнем ноутбуке можно за три минуты.

-2

Возможность взлома WhatsApp доказали на высшем уровне

Расследование в отношении Пола Манафорта, руководителя предвыборной кампании Дональда Трампа и советника беглого украинского президента Януковича, подтверждает , что мессенджер полон сюрпризов . Сообщения Манафорта в WhatsApp достали из iCloud .

Вероятно, Apple предоставила ФБР доступ к iCloud политика по решению суда.

А WhatsApp пришлось передать ключи шифрования , и это позволило агентам прочитать переписку Манафорта. В итоге его признали виновным по нескольким обвинениям и посадили на 7,5 года .

-3

Основатели мессенджера перестали верить в WhatsApp

Facebook купил WhatsApp в феврале 2014 года за 22 млрд долларов . В сентябре 2017 года сооснователь WhatsApp Брайан Эктон покинул компанию В апреле 2018-го Ян Борисович Кум сделал то же самое – из-за сомнений в приватности данных пользователей.

В марте, после скандала с Cambridge Analytica, Эктон призвал удалить Facebook и другие продукты компании. Он также заявил: Facebook неохотно согласился на оконечное шифрование в WhatsApp.

Действительно: если компания признала , что годами хранила сотни миллионов паролей от Instagram в виде простого текста, то от неё всего можно ожидать. Данные были доступны 2 тыс. разработчиков . Мог ли кто-то слить эти данные? Риторический вопрос.

Эктон также выразил сожаление о том, что согласился на сделку с Facebook:

Я продал приватность своих пользователей за большую выгоду. Я сделал выбор и пошел на уступки. И мне приходится жить с этим каждый день.

Эктон добавил: что происходит с шифрованием в WhatsApp после продажи, неизвестно. Как-то не верится, что его резко улучшили .

Через WhatsApp прямо сейчас могут красть ваши данные

Новый громкий скандал с WhatsApp начался 3 октября. Уязвимость угрожает WhatsApp (версии до 2.19.244) на Android, начиная с 8 версии.

Работает это так:

  1. Хакер отправляет жертве GIF-файл : как документ или просто в чате, если злоумышленник в контакт-листе жертвы. Во втором случае GIF даже автоматически загрузится.
  2. Когда жертва захочет отправить кому-нибудь медиафайл, она нажмет на значок со скрепкой и откроет галерею для выбора файла.
  3. WhatsApp показывает в галерее превью медиафайлов. Это послужит триггером и запустит вредонос.
  4. Profit! Теперь хакер может запускать на смартфоне жертвы произвольный код.

Но 14 ноября эксперты нашли ещё одну дыру (и в Facebook её признали ). Баг есть в WhatsApp до 2.19.274 для Android и в iOS-версии до 2.19.100.

Разработчики раскрыли не слишком много подробностей. Лишь отметили, что уязвимость связана с тем, как WhatsApp анализирует метадату mp4-видеофайлов .

Если баг эксплуатировать, можно добиться выполнения на смартфоне произвольного кода или отказа обслуживания (когда гаджетом нельзя будет пользоваться).

Если вы ещё не обновились, самое время.

Что теперь делать?

Если WhatsApp у вас – только для списков продуктов и школьных чатов, в целом можно не волноваться. Но конфиденциальную информацию и нюдсы через него передавать не стоит.

Telegram все же безопаснее WhatsApp. А Signal, пожалуй, безопаснее Telegram.

Есть ещё Wire, Threema и другие продукты. Но абсолютно безопасных мессенджеров не существует.

-4