Сквозное шифрование в защищенных мессенджерах не спасает от прослушки, если у злоумышленников есть доступ к управляющим серверам, — заявляют немецкие криптографисты. В любимом мессенджере Signal выявлена серьезная уязвимость, позволяющая злоумышленникам проникать в закрытые групповые чаты. Аналогичные более опасные баги присутствуют в WhatsApp.
акрытые групповые чаты в мессенджерах со сквозным шифрованием оказались уязвимыми для подслушки, — таковы результаты исследований, которые эксперты Рурского университета в Бохуме (Германия) представили на конференции Real World Crypto в Швейцарии. Серьезная уязвимость присутствует в популярном мессенджере WhatsApp, аналогичные, но менее серьезные проблемы выявлены также в Signal и Threema.
В 2015 г. бывший системный администратор Агентства национальной безопасности (АНБ) США и Центрального разведывательного управления Эдвард Сноуден(Edward Snowden) заявил, что ежедневно пользуется приложением Signal (очевидно, для связи с журналистами).
«Это хороший мессенджер. Я знаю, как он работает, — заявил Сноуден. — Он не защищает ваши метаданные, но он достаточно хорошо защищает ваш контент от перехвата».
Как выясняется, любой, у кого есть контроль над серверами WhatsApp, может незаметно добавлять в закрытые группы новых участников. Добавленные участники могут следить за диалогом без каких-либо разрешений со стороны администратора. Аналогичные, но куда менее серьезные уязвимости также выявлены в мессенджерах Signal и Threema.
«Конфиденциальность группового чата нарушается, как только незваный гость получает доступ ко всем новым сообщениям и может их читать», — заявил Wired Пауль Реслер(Paul Roesler), представитель команды исследователей. — «Если предполагается сквозное шифрование и для групп, и для индивидуальных диалогов, значит должна существовать защита от добавления новых членов. Если этого нет, то ценность шифрования крайне низка».