Найден способ читать секретные чаты в мессенджере Signal и WhatsApp

Сквозное шиф­ро­ва­ние в защи­щен­ных мес­сен­дже­рах не спа­са­ет от про­слуш­ки, если у зло­умыш­лен­ни­ков есть доступ к управ­ля­ю­щим сер­ве­рам, – заяв­ля­ют немец­кие крип­то­гра­фи­сты. В люби­мом мес­сен­дже­ре Signal выяв­ле­на серьез­ная уяз­ви­мость, поз­во­ля­ю­щая зло­умыш­лен­ни­кам про­ни­кать в закры­тые груп­по­вые чаты. Аналогичные более опас­ные баги при­сут­ству­ют в WhatsApp.

Компрометация WhatsApp и Signal

Закрытые груп­по­вые чаты в мес­сен­дже­рах со сквоз­ным шиф­ро­ва­ни­ем ока­за­лись уяз­ви­мы­ми для под­слуш­ки, – тако­вы резуль­та­ты иссле­до­ва­ний, кото­рые экс­пер­ты Рурского уни­вер­си­те­та в Бохуме (Германия) пред­ста­ви­ли на кон­фе­рен­ции Real World Crypto в Швейцарии. Серьезная уяз­ви­мость при­сут­ству­ет в попу­ляр­ном мес­сен­дже­ре WhatsApp, ана­ло­гич­ные, но менее серьез­ные про­бле­мы выяв­ле­ны так­же в Signal и Threema.

В 2015 г. быв­ший систем­ный адми­ни­стра­тор Агентства наци­о­наль­ной без­опас­но­сти (АНБ) США и Центрального раз­ве­ды­ва­тель­но­го управ­ле­ния Эдвард Сноуден (Edward Snowden) заявил, что еже­днев­но поль­зу­ет­ся при­ло­же­ни­ем Signal (оче­вид­но, для свя­зи с журналистами).

«Это хоро­ший мес­сен­джер. Я знаю, как он рабо­та­ет, — заявил Сноуден. — Он не защи­ща­ет ваши мета­дан­ные, но он доста­точ­но хоро­шо защи­ща­ет ваш кон­тент от пере­хва­та».

Как выяс­ня­ет­ся, любой, у кого есть кон­троль над сер­ве­ра­ми WhatsApp, может неза­мет­но добав­лять в закры­тые груп­пы новых участ­ни­ков. Добавленные участ­ни­ки могут сле­дить за диа­ло­гом без каких-​либо раз­ре­ше­ний со сто­ро­ны адми­ни­стра­то­ра. Аналогичные, но куда менее серьез­ные уяз­ви­мо­сти так­же выяв­ле­ны в мес­сен­дже­рах Signal и Threema.

«Конфиденциальность груп­по­во­го чата нару­ша­ет­ся, как толь­ко незва­ный гость полу­ча­ет доступ ко всем новым сооб­ще­ни­ям и может их читать», – заявил Wired Пауль Реслер (Paul Roesler), пред­ста­ви­тель коман­ды иссле­до­ва­те­лей. – «Если пред­по­ла­га­ет­ся сквоз­ное шиф­ро­ва­ние и для групп, и для инди­ви­ду­аль­ных диа­ло­гов, зна­чит долж­на суще­ство­вать защи­та от добав­ле­ния новых чле­нов. Если это­го нет, то цен­ность шиф­ро­ва­ния крайне низка».

Исследователи ука­зы­ва­ют, что, хотя в груп­по­вые чаты может добав­лять толь­ко адми­ни­стра­тор, WhatsApp не исполь­зу­ет ника­ких меха­низ­мов авто­ри­за­ции, кото­рые нель­зя под­де­лать со сто­ро­ны сер­ве­ра. То есть, сер­вер может добав­лять новых участ­ни­ков в груп­пу без содей­ствия со сто­ро­ны адми­ни­стра­то­ра, и смарт­фон каж­до­го участ­ни­ка груп­по­во­го чата авто­ма­ти­че­ски делит­ся сек­рет­ны­ми клю­ча­ми со все­ми осталь­ны­ми, предо­став­ляя им доступ ко всем даль­ней­шим (и толь­ко) сообщениям.

И хотя при добав­ле­нии новых участ­ни­ков, всем рас­сы­ла­ет­ся уве­дом­ле­ние об этом, нехит­рый трюк может поз­во­лить зло­умыш­лен­ни­ку отсро­чить свое выяв­ле­ние. Например, он, при нали­чии кон­тро­ля над сер­ве­ром, может изби­ра­тель­но бло­ки­ро­вать достав­ку любых сооб­ще­ний в груп­пе или рас­сы­лать отдель­ным адми­ни­стра­то­рам раз­ные сооб­ще­ния, так что каж­до­му адми­ни­стра­то­ру пока­жет­ся, что зло­умыш­лен­ни­ка при­гла­сил кто-​то дру­гой. В конеч­ном сче­те, он может бло­ки­ро­вать даже попыт­ки его уда­лить из группы.

Со сво­ей сто­ро­ны, пред­ста­ви­те­ли WhatsApp заяви­ли, что пол­но­стью сек­рет­но доба­вить кого-​либо в закры­тый чат невоз­мож­но, и что рано или позд­но чужак будет обна­ру­жен. Весь вопрос, впро­чем, как ско­ро это произойдет.

Что каса­ет­ся захва­та кон­тро­ля над сер­ве­ра­ми, то взло­мать их весь­ма непро­сто. Однако вполне допу­стим сце­на­рий, при кото­ром пред­ста­ви­те­ли вла­стей застав­ля­ют работ­ни­ков WhatsApp выдать им клю­чи досту­па к серверам.

Signal и Threema: менее серьезные, но, тем не менее, небезопасные баги

Исследователи так­же отме­ти­ли, что похо­жее сла­бое место есть и в Signal: там тоже мож­но доба­вить посто­рон­не­го в закры­тый чат при нали­чии кон­тро­ля над сер­ве­ром, но остро­та про­бле­мы сни­жа­ет­ся тем, что зло­умыш­лен­ни­ку потре­бу­ет­ся еще и иден­ти­фи­ка­тор Group ID. Этот иден­ти­фи­ка­тор прак­ти­че­ски невоз­мож­но уга­дать или полу­чить ина­че как из смарт­фо­на кого-​либо из поль­зо­ва­те­лей чата – а в этом слу­чае чат и так будет скомпрометирован.

Тем не менее, раз­ра­бот­чи­ки Signal – ком­па­ния Open Whisper Systems – уже заяви­ли, что пере­стра­и­ва­ют прин­ци­пы рабо­ты Signal, что­бы избе­жать мини­маль­ной воз­мож­но­сти компрометации.

Что каса­ет­ся Threema, то угро­за выяв­лен­ных в ней уяз­ви­мо­стей огра­ни­чи­ва­ет­ся воз­мож­но­стью вос­про­из­во­дить ста­рые сооб­ще­ния – при нали­чии кон­тро­ля над сер­ве­ром – или воз­вра­щать в груп­по­вые чаты уда­лен­ных отту­да поль­зо­ва­те­лей. Этот баг раз­ра­бот­чи­ки Threema уже исправили.