Голландский студент взломал WhatsApp

Популярный мобильный мессенджер WhatsApp больше нельзя считать безопасным. Все ранее переданные сообщения следует признать скомпрометированными, заявил Тейс Алькемейд, студент-математик из университета Утрехта в Нидерландах и ведущий разработчик мессенджера Adium. Этот сервис имеет значительную архитектурную уязвимость в его подсистеме криптографии, которая позволяет потенциальным атакующим дешифровать перехваченные сообщения, говорит голландский специалист.

По словам Алькемейда, проблема не в использовании номера IMEI в качестве пароля (эту уязвимость уже исправили), а в ошибках в реализации криптографической схемы WhatsApp. Это приложение, как известно, неоднократно обвиняли в отсутствии криптографической защиты, и в августе 2012 года в него все-таки добавили шифрование сообщений. Проблема заключается в том, что WhatsApp использует один и тот же ключ для шифрования входящих и исходящих потоков данных между приложением и сервером WhatsApp, говорит Алкемад.

«RC4 – это генератор PRNG (pseudo-random number generator), создающий потоки байт, которые криптуются при помощи обычного текста в шифрованную последовательность. Криптование шифр-текста тем же потоком байт позволяет восстановить текст на сторонней системе путем сравнения зашифрованных данных», – написал специалист в своем блоге.

WhatsApp шифрует разные потоки сообщений одним и тем же ключом и это позволяет вскрывать траффик мессенджера, между тем зашифрованный трафик можно перехватить очень легко, например через открытую WiFi-сеть. «Повторное использование отработанного ключа – это серьезная логическая ошибка в реализации программного кода WhatsApp. Эту ошибку допускали советские спецслужбы в 1950х годах и microsoft в 1995 году в VPN-протоколе», – пишет он.

Алкемад выпустил эксплоит для выявленной уязвимости, который перехватывает пользовательское сообщение на сервер и передает его обратно таким образом, как будто бы это был получен ответ от сервера. По его словам, эксплоит работает на Nokia Series 40 и Android, однако специалист полагает, что и iPhone-версия работает аналогично.

Представители WhatsApp назвали заявления Алькемейда «преувеличенными и нацеленными на сенсацию».

Источник: MacDigger.ru

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Присоединяйтесь к нам в Twitter, ВКонтакте, Facebook, или через RSS, чтобы быть в курсе последних новостей из мира Apple, Microsoft и Google.


3 комментария

  • А чего не сообщили "под чем" голландский специалист взломал мессенджер?)
    • Потеряла веру в жизнь... Муж изменял и скрывал это от меня. Уйти не могла не доказав что он подлец. Обратилась за помощью к специалисту. Незнаю как, но предоставил мне всю переписку за последние 6 месяцев. Когда показала ему его же переписку он был ошарашен... Ушла с гордо поднятой головой! B)