Специалисты по информационной безопасности говорят о том, что в популярном мессенджере WhatsApp присутствует уязвимость, благодаря которой 450 млн пользователей потенциально могут стать жертвами шпионажа или хакеров. В консалтинговой компании Praetorian говорят, что в WhatsApp присутствуют несколько слабостей в реализации протокола криптографии. Среди серьезных проблем мессенджера они называют метод, по которому WhatsApp использует технологию SSL 2.0.
Данная версия подвержена ряду хорошо известных атак, которые позволяют отслеживать соединения между двумя конечными точками, а также дешифровать и в некоторых случаях манипулировать проходящим трафиком.
Помимо этого, WhatsApp не смог должным образом развернуть технику, известную как Certificate Pinning, которая была создана для блокирования атак с поддельными веб-сертификатами и обхода веб-шифрования. Она позволяет приложению работать по защищенному каналу связи только в том случае, если сервер использует определенный сертификат. Так как сертификат «зашит» в приложение, он отвергает соединение с любым другим «неправильным» сертификатом, даже если тот был виписан легальным удостоверяющим центром и принимается операционной системой и браузером.
За последние несколько лет техника стала популярной среди разработчиков мобильных приложений, таких как Twitter, Facebook и Google. Certificate Pinning ранее вышла боком для браузера Google Chrome, когда тот работал с «зашитыми» сертфикатами DigiNotar, оказавшимися похищенными хакерами. Тогда хакеры получили возможность перехвата трафика Gmail.
Praetorian отмечает два других проблемных момента WhatsApp: использование нулевых шифров SSL и возможность экспорта SSL-шифров. Обе слабости облегчают потенциальным атакующим обход системы шифрования во время перехвата трафика, тогда тот идет между телефоном пользователя и сервером WhatsApp. «Известно, что именно такие штуки обожают в АНБ США. Говоря упрощенно, они позволяют создавать атаку типа man-in-the-middle и затем дешифровать защищенный канал связи, прослушивая трафик. Эти слабости должны привлечь внимание ИТ-администраторов и пользователей WhatsApp», — говорит Пол Ярегу, технический специалист Praetorian.
Отметим, что в ноябре прошлого года специалисты из Университета Утрехта в Нидерландах также раскритиковали WhatsApp за наличие слабостей в алгоритме шифрования. Они тогда задокументировали ряд проблем, используя которые также можно перехватывать WhatsApp-трафик.