В WhatsApp обнаружены уязвимости, позволяющие дешифровать трафик

WhatsApp 1

WhatsApp 1Специалисты по информационной безопасности говорят о том, что в популярном мессенджере WhatsApp присутствует уязвимость, благодаря которой 450 млн пользователей потенциально могут стать жертвами шпионажа или хакеров. В консалтинговой компании Praetorian говорят, что в WhatsApp присутствуют несколько слабостей в реализации протокола криптографии. Среди серьезных проблем мессенджера они называют метод, по которому WhatsApp использует технологию SSL 2.0.

Специалисты по информационной безопасности говорят о том, что в популярном мессенджере WhatsApp присутствует уязвимость, благодаря которой 450 млн пользователей потенциально могут стать жертвами шпионажа или хакеров. В консалтинговой компании Praetorian говорят, что в WhatsApp присутствуют несколько слабостей в реализации протокола криптографии. Среди серьезных проблем мессенджера они называют метод, по которому WhatsApp использует технологию SSL 2.0.

Промо код на iphone в екатеринбурге

Данная версия подвержена ряду хорошо известных атак, которые позволяют отслеживать соединения между двумя конечными точками, а также дешифровать и в некоторых случаях манипулировать проходящим трафиком.

Помимо этого, WhatsApp не смог должным образом развернуть технику, известную как Certificate Pinning, которая была создана для блокирования атак с поддельными веб-сертификатами и обхода веб-шифрования. Она позволяет приложению работать по защищенному каналу связи только в том случае, если сервер использует определенный сертификат. Так как сертификат «зашит» в приложение, он отвергает соединение с любым другим «неправильным» сертификатом, даже если тот был виписан легальным удостоверяющим центром и принимается операционной системой и браузером.

За последние несколько лет техника стала популярной среди разработчиков мобильных приложений, таких как Twitter, Facebook и Google. Certificate Pinning ранее вышла боком для браузера Google Chrome, когда тот работал с «зашитыми» сертфикатами DigiNotar, оказавшимися похищенными хакерами. Тогда хакеры получили возможность перехвата трафика Gmail.

Praetorian отмечает два других проблемных момента WhatsApp: использование нулевых шифров SSL и возможность экспорта SSL-шифров. Обе слабости облегчают потенциальным атакующим обход системы шифрования во время перехвата трафика, тогда тот идет между телефоном пользователя и сервером WhatsApp. «Известно, что именно такие штуки обожают в АНБ США. Говоря упрощенно, они позволяют создавать атаку типа man-in-the-middle и затем дешифровать защищенный канал связи, прослушивая трафик. Эти слабости должны привлечь внимание ИТ-администраторов и пользователей WhatsApp», — говорит Пол Ярегу, технический специалист Praetorian.

Отметим, что в ноябре прошлого года специалисты из Университета Утрехта в Нидерландах также раскритиковали WhatsApp за наличие слабостей в алгоритме шифрования. Они тогда задокументировали ряд проблем, используя которые также можно перехватывать WhatsApp-трафик.

i-ekb.ru
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных.