Студенту из Голландии удалось взломать WhatsApp
Репутация WhatsApp в плане безопасности была подмочена. Тейс Алькемейд, будущий математик и студент Утрехта, голландского университета, сообщил о найденной уязвимости в сервисе, которую можно использовать для перехвата зашифрованных сообщений.По его словам, проблема кроется не в коде IMEI, который используется в качестве пароля, а в ошибках с криптографией на WhatsApp. Данное приложение многие критиковали за то, что в нем нет механизмов защиты шифрования. Поэтому летом 2013 года приложение все-таки получило данную поддержку. Дело в том, что WhatsApp пользуется одним и тем же ключом для шифрованием двух потоков данных между сервером и клиентом.
Студент подробно описал проблему в своем блоге. Как оказалось, RC4 создает потоки из байт, которые впоследствии поддаются криптованию с помощью простого текста в зашифрованную последовательность. И если шифр одинаков для двух потоков, то восстановить сообщения можно простым сравнение шифрованной информации.
Это в конечном счете позволить пользоваться трафиком мессенджера, причем перехват делается с необычной легкостью. К примеру, можно воспользоваться Wi-Fi сетью, которая открыта для пользователей. Специалист по этому поводу добавил, что данная ошибка является очень серьезной. Так ошиблись однажды спецслужбы с СССР в 50-х годах и Microsoft в 1995 году.
Чтобы подтвердить свои слова Алкемад написал эксплойт, использующий уязвимость для перехвата сообщений пользователей на сервер. После этого ведется передача его так, будто сервер уже отправил ответ. Эксплойтом можно поиграться на Android и Nokia Series. Впрочем, ученый считает, что версия для iPhone работает таким же образом.
В самом WhatsApp заявление специалиста назвали слишком преувеличенным и сказанным ради сенсации.
Советуем к прочтению:
5 основных причин поломки ноутбука
Продажи планшета BlackBerry PlayBook стартуют 10 апреля
Qualcomm продемонстрировала дисплеи Mirasol с плотность пикселей 577 на дюйм