• Facebook заявляет, что никто, даже сама компания, не может получить доступ к сообщениям WhatsApp.
• Однако лазейка в системе безопасности позволяет Facebook читать переписку клиентов.
• Это становится возможным при принудительной генерации ключей шифрования WhatsApp для пользователей не в сети.
• Сообщение об уязвимости поступило в компанию Facebook в апреле прошлого года.
Благодаря сквозному шифрованию WhatsApp считается одной из самых безопасных служб обмена сообщениями.
При сквозном шифровании перехваченное сообщение невозможно прочитать.
Тем не менее в системе безопасности программы выявлена брешь, которая позволяет посторонним лицам и Facebook перехватывать и читать зашифрованные сообщения WhatsApp.
БРЕШЬ В БЕЗОПАСНОСТИ
Уязвимость была обнаружена исследователем из Калифорнийского университета в Беркли.
Компания Facebook, которая купила WhatsApp два года назад, заявляет, что никто не может перехватить сообщения WhatsApp, включая саму компанию и ее персонал.
Однако согласно отчетам применяемый способ шифрования позволяет компании читать сообщения.
Активисты назвали это серьезной угрозой свободе слова.
Брешь в системе безопасности обнаружил Тобиас Бёльтер (Tobias Boelter), исследователь в области криптографии и безопасности из Калифорнийского университета в Беркли.
Он рассказал ресурсу The Guardian: «Если правительственная организация попросит WhatsApp открыть доступ к записям сообщений, это будет легко сделать из-за возможности смены ключей».
При сквозном шифровании сообщения видны только отправителю и человеку, который должен был получить их.
Для работы системы используются «замки», которые защищают переписку между собеседниками и в групповом чате.
Для замка есть специальный «ключ», доступный только отправителю и получателям.
Компания заявляет, что эта технология позволяет защитить личные данные от киберпреступников, хакеров, диктаторских режимов и даже представителей WhatsApp.
Однако WhatsApp может генерировать новые ключи шифрования для пользователей, находящихся не в сети.
Система также может принудительно выполнять повторное шифрование недоставленных сообщений, создавая новые ключи, и заново отправлять их без уведомления пользователя.
Повторное шифрование и отправка позволяет WhatsApp перехватывать и читать сообщения пользователей.
По информации The Guardian, господин Бёльтер сообщил Facebook об уязвимости в апреле 2016 года, но ему ответили, что компания осведомлена о проблеме, назвали ее «ожидаемым поведением» и заявили, что в ближайшее время не планируют ее устранять.
Вице-президент по стратегии и расширению рынка компании Varonis Дэвид Гибсон (David Gibson) утверждает: «Мы смеемся, когда высокопоставленные лица, например избранный президент Трамп, заявляют, что нам следует передавать конфиденциальную информацию с помощью бумаги и ручки, но в эпоху ежедневных утечек данных потребителям необходимо смириться с тем, что их общение будет оставаться личным недолго».
По его словам, «даже в таких приложениях, как WhatsApp, разработчики которых заявляют, что никто не может следить за перепиской их пользователей», могут возникнуть уязвимости в результате случайного или намеренного создания лазеек.
«Потребителям и компаниям, таким как Facebook, требуется постоянно проявлять бдительность для защиты интересов клиентов», — добавил он.
ДОСТУП К ДАННЫМ WHATSAPP
Приложение WhatsApp вызвало интерес в связи с предоставлением данных родительской компании Facebook.
Произошло трудноуловимое, но значительное изменение для мессенджера, который долгое время обещал защитить конфиденциальность более чем одного миллиарда пользователей во всем мире.
В сентябре прошлого года приложение WhatsApp начало связывать учетные записи с Facebook, передавая номера мобильных телефонов пользователей.
Кроме того, компании предоставляют друг другу информацию об устройстве, например тип операционной системы и характеристики смартфона.
Facebook использует телефонные номера для внутренних целей, определяя пользователей WhatsApp в социальной сети Facebook.
Таким образом компания может рекомендовать друзей или показывать целевую рекламу.
Для рекламы Facebook использует программу «Индивидуально настроенные аудитории».
Патрик Арбен (Patrick Arben), партнер в юридической фирме Gowling WLG, утверждает: «Чтобы действия были правомерными, их необходимо осуществлять в рамках закона о полномочиях властей, проводящих расследование уголовного преступления, который вступил в силу в ноябре прошлого года.
Он в какой-то мере упрощает работу служб, занимающихся расследованиями и слежкой, полномочия и права которых ранее распределялись между множеством законодательных актов.
Из закона исключены оскорбительные положения, требующие от информационно-технологических компаний создавать лазейки в своих системах. Эти положения прозвали шпионским уставом.
Закон улучшили, чтобы повысить защиту от злоупотребления полномочиями службами, которые занимаются перехватом информации и слежкой.
Перехват информации осуществляется под усиленным судебным надзором. Однако эти меры не заходят так далеко, как предлагалось независимым специалистом в области законодательства, направленного на борьбу с терроризмом».
Доктор Джейми Грэйвс (Jamie Graves), генеральный директор ZoneFox, добавил: «Следует признать, что в эпоху цифровых технологий мы не можем заявлять о безопасности чего-либо.
Даже о безопасности приложения компании WhatsApp, которая предприняла серьезные шаги для продвижения идеи о защищенности своего продукта от любых угроз проникновения.
В то время как основное внимание в связи с обнаруженной брешью будет направлено на личные последствия для миллиардов пользователей WhatsApp, представителям компаний также следует быть крайне обеспокоенными. В современном мире обсуждение многих связанных с работой вопросов, зачастую конфиденциальных и проходящих на высшем уровне, происходит в данном приложении.
Судя по всему, масса информации была доступна любому, кто знал, как ее получить. Теперь можно только догадываться, был ли осуществлен несанкционированный доступ и какое количество конфиденциальной информации могло попасть в чужие руки.
Кроме того, появление приложения WhatsApp для ПК, которое стремительно набрало популярность, означает, что миллионы служащих использовали это программное обеспечение на рабочих устройствах, потенциально открывая доступ к конфиденциальной информации и серверам компаний.
Эта уязвимость должна послужить весомым сигналом для представителей компаний к проявлению бдительности и тщательному отслеживанию угроз безопасности, которые скрываются в наименее очевидных аспектах работы компании».
• Однако лазейка в системе безопасности позволяет Facebook читать переписку клиентов.
• Это становится возможным при принудительной генерации ключей шифрования WhatsApp для пользователей не в сети.
• Сообщение об уязвимости поступило в компанию Facebook в апреле прошлого года.
Благодаря сквозному шифрованию WhatsApp считается одной из самых безопасных служб обмена сообщениями.
При сквозном шифровании перехваченное сообщение невозможно прочитать.
Тем не менее в системе безопасности программы выявлена брешь, которая позволяет посторонним лицам и Facebook перехватывать и читать зашифрованные сообщения WhatsApp.
БРЕШЬ В БЕЗОПАСНОСТИ
Уязвимость была обнаружена исследователем из Калифорнийского университета в Беркли.
Компания Facebook, которая купила WhatsApp два года назад, заявляет, что никто не может перехватить сообщения WhatsApp, включая саму компанию и ее персонал.
Однако согласно отчетам применяемый способ шифрования позволяет компании читать сообщения.
Активисты назвали это серьезной угрозой свободе слова.
Брешь в системе безопасности обнаружил Тобиас Бёльтер (Tobias Boelter), исследователь в области криптографии и безопасности из Калифорнийского университета в Беркли.
Он рассказал ресурсу The Guardian: «Если правительственная организация попросит WhatsApp открыть доступ к записям сообщений, это будет легко сделать из-за возможности смены ключей».
При сквозном шифровании сообщения видны только отправителю и человеку, который должен был получить их.
Для работы системы используются «замки», которые защищают переписку между собеседниками и в групповом чате.
Для замка есть специальный «ключ», доступный только отправителю и получателям.
Компания заявляет, что эта технология позволяет защитить личные данные от киберпреступников, хакеров, диктаторских режимов и даже представителей WhatsApp.
Однако WhatsApp может генерировать новые ключи шифрования для пользователей, находящихся не в сети.
Система также может принудительно выполнять повторное шифрование недоставленных сообщений, создавая новые ключи, и заново отправлять их без уведомления пользователя.
Повторное шифрование и отправка позволяет WhatsApp перехватывать и читать сообщения пользователей.
По информации The Guardian, господин Бёльтер сообщил Facebook об уязвимости в апреле 2016 года, но ему ответили, что компания осведомлена о проблеме, назвали ее «ожидаемым поведением» и заявили, что в ближайшее время не планируют ее устранять.
Вице-президент по стратегии и расширению рынка компании Varonis Дэвид Гибсон (David Gibson) утверждает: «Мы смеемся, когда высокопоставленные лица, например избранный президент Трамп, заявляют, что нам следует передавать конфиденциальную информацию с помощью бумаги и ручки, но в эпоху ежедневных утечек данных потребителям необходимо смириться с тем, что их общение будет оставаться личным недолго».
По его словам, «даже в таких приложениях, как WhatsApp, разработчики которых заявляют, что никто не может следить за перепиской их пользователей», могут возникнуть уязвимости в результате случайного или намеренного создания лазеек.
«Потребителям и компаниям, таким как Facebook, требуется постоянно проявлять бдительность для защиты интересов клиентов», — добавил он.
ДОСТУП К ДАННЫМ WHATSAPP
Приложение WhatsApp вызвало интерес в связи с предоставлением данных родительской компании Facebook.
Произошло трудноуловимое, но значительное изменение для мессенджера, который долгое время обещал защитить конфиденциальность более чем одного миллиарда пользователей во всем мире.
В сентябре прошлого года приложение WhatsApp начало связывать учетные записи с Facebook, передавая номера мобильных телефонов пользователей.
Кроме того, компании предоставляют друг другу информацию об устройстве, например тип операционной системы и характеристики смартфона.
Facebook использует телефонные номера для внутренних целей, определяя пользователей WhatsApp в социальной сети Facebook.
Таким образом компания может рекомендовать друзей или показывать целевую рекламу.
Для рекламы Facebook использует программу «Индивидуально настроенные аудитории».
Патрик Арбен (Patrick Arben), партнер в юридической фирме Gowling WLG, утверждает: «Чтобы действия были правомерными, их необходимо осуществлять в рамках закона о полномочиях властей, проводящих расследование уголовного преступления, который вступил в силу в ноябре прошлого года.
Он в какой-то мере упрощает работу служб, занимающихся расследованиями и слежкой, полномочия и права которых ранее распределялись между множеством законодательных актов.
Из закона исключены оскорбительные положения, требующие от информационно-технологических компаний создавать лазейки в своих системах. Эти положения прозвали шпионским уставом.
Закон улучшили, чтобы повысить защиту от злоупотребления полномочиями службами, которые занимаются перехватом информации и слежкой.
Перехват информации осуществляется под усиленным судебным надзором. Однако эти меры не заходят так далеко, как предлагалось независимым специалистом в области законодательства, направленного на борьбу с терроризмом».
Доктор Джейми Грэйвс (Jamie Graves), генеральный директор ZoneFox, добавил: «Следует признать, что в эпоху цифровых технологий мы не можем заявлять о безопасности чего-либо.
Даже о безопасности приложения компании WhatsApp, которая предприняла серьезные шаги для продвижения идеи о защищенности своего продукта от любых угроз проникновения.
В то время как основное внимание в связи с обнаруженной брешью будет направлено на личные последствия для миллиардов пользователей WhatsApp, представителям компаний также следует быть крайне обеспокоенными. В современном мире обсуждение многих связанных с работой вопросов, зачастую конфиденциальных и проходящих на высшем уровне, происходит в данном приложении.
Судя по всему, масса информации была доступна любому, кто знал, как ее получить. Теперь можно только догадываться, был ли осуществлен несанкционированный доступ и какое количество конфиденциальной информации могло попасть в чужие руки.
Кроме того, появление приложения WhatsApp для ПК, которое стремительно набрало популярность, означает, что миллионы служащих использовали это программное обеспечение на рабочих устройствах, потенциально открывая доступ к конфиденциальной информации и серверам компаний.
Эта уязвимость должна послужить весомым сигналом для представителей компаний к проявлению бдительности и тщательному отслеживанию угроз безопасности, которые скрываются в наименее очевидных аспектах работы компании».
Поделиться с друзьями
autuna
Наверное, стоит указать ссылку на оригинальную статью в Guardian.