Чем опасен WhatsApp – его взломали полностью

Павел Дуров заявил, что всем нужно срочно удалить Whats.

App со смартфонов и других устройств.

Действительно, к безопасности и конфиденциальности этого мессенджера давно скопилось много вопросов.

Соберём всю важную информацию по этой теме, чтобы вы знали, какие опасности могут поджидать в самом популярном мессенджере.

Разбираемся, что не так с Whats.

Павел Дуров заявил: Whats.

App – это троян.

Дуров написал: Whats.

App не только не защищает ваши сообщения Whats.

App – это приложение постоянно используется в качестве трояна для слежки за фото и сообщениями, которые не относятся к Whats.

Зачем им [разработчикам] это делать? Facebook был частью программ слежки задолго до того, как купил Whats.

Разработчик Telegram подчеркнул: все баги, которые находят в Whats.

App, идеально подходят для слежки за пользователями.

А если вспомнить утиный тест (если оно выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, и есть утка), то от приложения действительно хочется избавиться.

По словам Дурова, “Facebook и Whats.

App делились практически всем с теми, кто утверждал, что работает на правительство”.

Израильтяне добились впечатляющих успехов во взломе Whats.

В мае 2019 года эксперты по кибербезопасности нашли в системе голосовых звонков Whats.

App дыру, которую использовали для слежки за активистами.

Работало это и на Android, и на iOS.

Вредонос разработала израильская компания NSO Group.

Он позволял установить на смартфон с Whats.

App шпионские приложения.

Чтобы взломать смартфон, хакеры просто звонили жертве по Whats.

Приложение автоматически принимало звонок – без ведома владельца! Затем на смартфон загружали шпионское ПО для кражи данных.

Записи о звонках удалялись, чтобы никто ничего не заподозрил.

В Whats.

App проблему признали.

Разработчики сравнили код вредоноса с другими разработками NSO Group и пришли к выводу, что почерк действительно один и тот же.

Затем они за четыре дня разработали патч безопасности и попросили всех пользователей (1,5 млрд человек, на минуточку!) установить его.

На чем зарабатывает израильская NSO Group?.

Главный продукт компании – Pegasus.

Это софт, который способен включать камеру и микрофон смартфона, просматривать e-mail и сообщения, собирать данные о геолокации.

Основные заказчики Pegasus – спецслужбы Среднего Востока, США, Западной Европы и других регионов.

Формально софт используют с подачи правительства, чтобы противостоять терроризму и предотвращать преступления.

Когда о проблеме с Whats.

App стало известно всем, в NSO Group развели руками.

Дескать, мы проверяем всех клиентов и расследуем случаи злоупотребления.

Не мы охотимся за правозащитниками, а значит, мы ни в чем не виноваты и ничего не нарушили.

Сколько стоит Pegasus, неизвестно.

Саму NSO Group оценивают в 1 млрд долларов.

Забавно другое: после выхода патча адвокат из Лондона заявил об атаке, похожей на использование софта NSO Group.

Он защищал саудовского диссидента и мексиканских журналистов, которых ранее также атаковали с применением того же софта.

Но получить данные со смартфона адвоката не удалось.

Значит, патч всё-таки работает.

Адвокат также помог жертвам атаки подать в суд на NSO Group.

Он заявил, что разработчики должны разделить ответственность за взлом со своими клиентами.

Так как NSO Group экспортировала ПО за границу, предъявило претензии и Министерство обороны Израиля.

Но юристы убеждены: в министерстве и раньше знали о возможностях Pegasus, так что это показательное выступление.

Как устроен Whats.

App, вообще неизвестно.

App – мессенджер с закрытым исходным кодом.

В целом для коммерческих приложений это нормально.

Но продукты с открытым исходным кодом внушают больше доверия.

В Whats.

App вы не можете посмотреть, чем новая версия отличается от предшественницы.

Не можете проанализировать код и найти бэкдоры.

Специалисты ищут уязвимости в Whats.

App, исходя из поведения готового продукта.

Это не дает увидеть полной картины.

Более того: разработчики Whats.

App обфрусцируют код.

Его специально запутывают, чтобы усложнить анализ.

Скорее всего, это сделано по требованию спецслужб.

От Whats.

App и материнской компании Facebook могли потребовать оставить в ПО бэкдоры.

И если компании отправили ФБР о неразглашении (так называемый Gag order), Цукерберг даже в Спортлото общественности пожаловаться не может.

App был изначально полон дыр в безопасности.

Создатели Whats.

App Брайан Эктон (слева) и Ян Кум.

Создатели Whats.

App заявляли, что “безопасность у него в ДНК”.

Но всё оказалось с точностью наоборот.

Например, в 2011-2012 годах доступ к вашей переписке в Whats.

App могли получить даже мобильные провайдеры и администраторы Wi-Fi точек.

Ключи шифрования одно время можно было подменить прямо в чате.

Вряд ли тестировщики компании этого не замечали.

Когда внедрили стандартное шифрование, ключи сделали доступными некоторым правительствам.

Но резервные копии данных, которые настойчиво предлагали сохранять в облаке, никто не шифровал.

Сквозное шифрование, которое интегрировали в апреле 2016 года и которое используется сегодня, тоже не спасает от кражи данных.

Да, метаданные разговоров мессенджер тоже передавал властям.

Из них можно понять, когда и с кем вы общались.

А ещё в 2013 году исследователи установили, что Whats.

App копировал все мобильные номера телефонов из адресной книги на свои сервера.

Формально чтобы показать, кто из них уже установил Whats.

Реально… с этими данными можно было сделать что угодно.

На сервера Whats.

App попали и номера пользователей, которые не устанавливали приложение.

К тому же при отправке использовалась ненадежная схема.

Расшифровать данные даже на домашнем ноутбуке можно за три минуты.

Возможность взлома Whats.

App доказали на высшем уровне.

Расследование в отношении Пола Манафорта, руководителя предвыборной кампании Дональда Трампа и советника беглого украинского президента Януковича, подтверждает, что мессенджер полон сюрпризов.

Сообщения Манафорта в Whats.

App достали из i.

Вероятно, Apple предоставила ФБР доступ к i.

Cloud политика по решению суда.

А Whats.

App пришлось передать ключи шифрования, и это позволило агентам прочитать переписку Манафорта.

В итоге его признали виновным по нескольким обвинениям и посадили на 7,5 года.

Основатели мессенджера перестали верить в Whats.

Facebook купил Whats.

App в феврале 2014 года за 22 млрд долларов.

В сентябре 2017 года сооснователь Whats.

App Брайан Эктон покинул компанию В апреле 2018-го Ян Борисович Кум сделал то же самое – из-за сомнений в приватности данных пользователей.

В марте, после скандала с Cambridge Analytica, Эктон призвал удалить Facebook и другие продукты компании.

Он также заявил: Facebook неохотно согласился на оконечное шифрование в Whats.

Данные были доступны 2 тыс.

Мог ли кто-то слить эти данные? Риторический вопрос.

Эктон также выразил сожаление о том, что согласился на сделку с Facebook:.

Я продал приватность своих пользователей за большую выгоду.

Я сделал выбор и пошел на уступки.

И мне приходится жить с этим каждый день.

Эктон добавил: что происходит с шифрованием в Whats.

App после продажи, неизвестно.

Как-то не верится, что его резко улучшили.

Через Whats.

App прямо сейчас могут красть ваши данные.

Новый громкий скандал с Whats.

App начался 3 октября.

Уязвимость угрожает Whats.

App (версии до 2.19.244) на Android, начиная с 8 версии.

Работает это так:.

Хакер отправляет жертве GIF-файл: как документ или просто в чате, если злоумышленник в контакт-листе жертвы.

Во втором случае GIF даже автоматически загрузится.

Когда жертва захочет отправить кому-нибудь медиафайл, она нажмет на значок со скрепкой и откроет галерею для выбора файла.

App показывает в галерее превью медиафайлов.

Это послужит триггером и запустит вредонос.

Profit! Теперь хакер может запускать на смартфоне жертвы произвольный код.

В Whats.

App 2.19.244 проблему решили.

Но 14 ноября эксперты нашли ещё одну дыру (и в Facebook её признали).

Баг есть в Whats.

App до 2.19.274 для Android и в iOS-версии до 2.19.100.

Разработчики раскрыли не слишком много подробностей.

Лишь отметили, что уязвимость связана с тем, как Whats.

App анализирует метадату mp4-видеофайлов.

Если баг эксплуатировать, можно добиться выполнения на смартфоне произвольного кода или отказа обслуживания (когда гаджетом нельзя будет пользоваться).

Если вы ещё не обновились, самое время.

А что с самим Telegram.

У мессенджера Дурова с безопасностью тоже всё не очень гладко.

Если вкратце, то в Telegram тоже используется сквозное шифрование.

В приватных чатах Telegram ключи действительно есть только у участников, в обычных (облачных) ключ теоретически может получить кто угодно.

Сквозное шифрование в Telegram не раз обходили.

Да и другие уязвимости обнаруживали.

Например, и в Whats.

App, и в Telegram можно было скрыть вредоносный код в изображении и отправить жертве, а затем получить полный доступ к её аккаунту.

И вообще: в сентябре эксперт Дирай Мишра обнаружил, что удаленные в Telegram файлы остаются на устройстве после того, как вы нажимаете в чате кнопку “Удалить для всех”.

Так что если вы по ошибке перешлете свои нюдсы боссу, а потом сразу удалите их, босс всё равно сможет сколько угодно их рассматривать.

Фото сохранятся у него в папке на смартфоне при получении.

Да и хакеры смогут получить доступ к файлам на устройстве.

В Telegram признали проблему.

За найденный баг Мишре выплатили 2500 евро в рамках программы bug bounty.

В Whats.

App есть такая же фича.

И она работает как надо.

Что ж, программы пишут люди.

А люди ошибаются.

Чаще, чем нам хотелось бы.

Разница только в том, что Whats.

App сотрудничает с властями, а Telegram утверждает, что не сотрудничает.

Что теперь делать?.

Если Whats.

App у вас – только для списков продуктов и школьных чатов, в целом можно не волноваться.

Но конфиденциальную информацию и нюдсы через него передавать не стоит.

Telegram все же безопаснее Whats.

А Signal, пожалуй, безопаснее Telegram.

Есть ещё Wire, Threema и другие продукты.

Но абсолютно безопасных мессенджеров не существует.