МОСКВА, 22 мая, ФедералПресс. Новое исследование показало серьезную уязвимость в системе групповых чатов WhatsApp. Несмотря на заявленное сквозное шифрование, в мессенджере отсутствует криптографическая верификация при добавлении новых участников. Это означает, что сервер WhatsApp сам может внести кого-либо в группу без согласия и подтверждения от участников, а пользователи не смогут определить, кто инициировал изменение.
Такая структура делает групповые чаты уязвимыми для скрытого доступа третьих лиц.«С учетом того, как устроен WhatsApp, всерьез думать о конфиденциальности просто не приходится. Как сейчас модно говорить – «в дизайн системы мессенджер играть не умеет». Вместо того чтобы выстроить настоящую защиту, разработчики просто отдали все управление серверу. При этом миллионы людей каждый день продолжают обсуждать там личные и рабочие темы, будто ничего не происходит. Пользоваться площадкой на постоянной основе – идея, мягко говоря, сомнительная. Да, в России еще есть трудности с мессенджерами, но появляются отечественные аналоги, и многие внутрикорпоративные решения сегодня объективно надежнее, чем сам WhatsApp», – отметил член Общественного совета при Минцифры России, директор Департамента цифровых технологий ТПП РФ Владимир Маслов.
Как работает добавление новых участников в группу: когда кого-то добавляют в групповой чат WhatsApp, это изменение передается через сервер приложения. При этом сообщение, которое сообщает о новом участнике, не имеет никакой защиты или подтверждения, кто именно его отправил. Сервер просто рассылает уведомление остальным участникам, и их приложения показывают, что в группе появился новый человек – без какой-либо проверки, действительно ли это сделал администратор или кто-то другой.
Это значит, что, если кто-то получит контроль над сервером, например, хакер или сотрудник компании, он сможет незаметно добавить в группу любого пользователя. И, если участники группы не обратят внимания на уведомление о новом члене – что легко может случиться в больших чатах, где много активности – посторонний человек останется незамеченным и сможет читать переписку.
«Во многих направлениях цифровой среды уже удалось добиться ощутимых результатов – усилен контроль, внедрены меры противодействия деструктивному контенту, сформированы механизмы регулирования. Однако одна из самых непростых и до сих пор нерешенных задач – это регулирование мессенджеров.
Сервисы обмена сообщениями, особенно иностранные, давно стали частью повседневной жизни. Но при этом они продолжают оставаться фактически вне зоны прозрачного контроля. Устройства безопасности внутри этих платформ зачастую формальны: ни верификации участников, ни прозрачности действий в группах, ни должного информирования пользователей. Это создает иллюзию защищенности, которая не выдерживает проверки на практике.
Такой подход – результат сознательной политики крупных ИТ-компаний: привлекательный внешний контур при минимуме обязательств перед обществом. Именно поэтому Россия активно развивает отечественные безопасные решения. Сегодня важно не столько конкурировать с глобальными платформами, сколько выстраивать альтернативу, в основе которой – доверие, прозрачность и реальная защита прав пользователей», – подчеркнул первый заместитель председателя Комитета Совета Федерации по конституционному законодательству и государственному строительству, заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин.
Похожий случай уже произошел с другим мессенджером: в закрытую группу американских чиновников в Signal по ошибке был добавлен журналист, и это не вызвало подозрений. Хотя Signal реализует механизм криптографической защиты, он не работает без ручной проверки аккаунтов. WhatsApp даже не предлагает аналогичной системы: сервер полностью контролирует список участников и может раскрывать его по запросу, в отличие от Signal, где сервер не знает, кто состоит в группе.
Исследователи подчеркивают, что такая уязвимость может быть использована в высокорисковых сценариях, от слежки за активистами до утечек в правительственных переписках. Несмотря на заверения WhatsApp о намерении усилить безопасность, отсутствие криптографического контроля над групповыми чатами остается серьезной проблемой, особенно для пользователей, которым важна конфиденциальность и недоступность внешнего вмешательства.
Ранее руководство мессенджера Signal заявило о возможном уходе с шведского рынка в случае принятия закона, обязывающего компании хранить данные пользователей и предоставлять доступ правоохранительным органам.
Фото: unsplash.com
Свежие комментарии