17 часа назад
10
Новое исследование показало серьезную уязвимость в системе групповых чатов WhatsApp. Несмотря на заявленное сквозное шифрование, в мессенджере отсутствует криптографическая верификация при добавлении новых участников. Это означает, что сервер WhatsApp сам может внести кого-либо в группу без согласия и подтверждения от участников, а пользователи не смогут определить, кто инициировал изменение.
Такая структура делает групповые чаты уязвимыми для скрытого доступа третьих лиц.
Как работает добавление новых участников в группу: когда кого-то добавляют в групповой чат WhatsApp, это изменение передается через сервер приложения. При этом сообщение, которое сообщает о новом участнике, не имеет никакой защиты или подтверждения, кто именно его отправил. Сервер просто рассылает уведомление остальным участникам, и их приложения показывают, что в группе появился новый человек – без какой-либо проверки, действительно ли это сделал администратор или кто-то другой.
Это значит, что, если кто-то получит контроль над сервером, например, хакер или сотрудник компании, он сможет незаметно добавить в группу любого пользователя. И, если участники группы не обратят внимания на уведомление о новом члене – что легко может случиться в больших чатах, где много активности – посторонний человек останется незамеченным и сможет читать переписку.
Похожий случай уже произошел с другим мессенджером: в закрытую группу американских чиновников в Signal по ошибке был добавлен журналист, и это не вызвало подозрений. Хотя Signal реализует механизм криптографической защиты, он не работает без ручной проверки аккаунтов. WhatsApp даже не предлагает аналогичной системы: сервер полностью контролирует список участников и может раскрывать его по запросу, в отличие от Signal, где сервер не знает, кто состоит в группе.
Исследователи подчеркивают, что такая уязвимость может быть использована в высокорисковых сценариях, от слежки за активистами до утечек в правительственных переписках. Несмотря на заверения WhatsApp о намерении усилить безопасность, отсутствие криптографического контроля над групповыми чатами остается серьезной проблемой, особенно для пользователей, которым важна конфиденциальность и недоступность внешнего вмешательства.
