Практически все популярные мобильные мессенджеры имеют уязвимости в коде, которые могут быть использованы злоумышленниками, выяснила компания Solar Security. При этом в коммуникационных приложениях для iOS эксперты нашли больше ошибок, чем в их версиях для Android. Сами мессенджеры пока не подтверждают наличие проблем с безопасностью.
Разработчик софта Solar Security подвел итоги исследования защищенности девяти наиболее популярных мобильных мессенджеров. С помощью технологии автоматического бинарного анализа был проверен код Telegram, WhatsApp, Viber, Facebook Messenger, Signal, Slack, Skype, WeChat и QQ International. Согласно результатам исследования (есть у «Ъ»), эксперты не обнаружили в Signal под Android критических уязвимостей, однако код приложения содержит шесть ошибок среднего уровня и семь — низкого уровня. В Facebook Messenger и Slack эксперты нашли по четыре критических уязвимости, в остальных — еще больше.
По данным Solar Security, наиболее частые критические уязвимости мессенджеров на Android — слабые алгоритмы шифрования и хеширования, небезопасные реализации SSL, использование пустых паролей. Эти ошибки, по мнению экспертов, повышают риски компрометации переписки, логинов и паролей, хранимых на устройстве. Небезопасная реализация SSL, как указали эксперты, увеличивает риск подмены сертификата и перехвата данных. «Эта уязвимость может быть эксплуатирована при использовании общественного Wi-Fi, в этом случае злоумышленник пропускает через себя весь трафик между мессенджером жертвы и сервером»,— пояснили в Solar Security.
В iOS-версиях приложений эксперты обнаружили больше ошибок. Так, в Facebook Messenger они нашли 12 критических уязвимостей, в Viber — 15, а в Skype — 17. Больше всего ошибок и для iOS, и для Android было обнаружено в китайских мессенджерах QQ International и WeChat. Относительно высокое количество ошибок, найденное в iOS-мессенджерах, может быть связано с тем, что разработчики Android «априори более внимательно относятся к уровню защищенности приложения», поскольку сама Android считается менее безопасной, считает руководитель направления Solar inCode компании Solar Security Даниил Чернов.
