Пользователь WhatsApp получил чужие сообщения


Эбби Фуллер сотрудница Amazon в своем твиттере описала случай который с нею произошел при создании нового аккаунта WhatsApp. После установки и привязки ее нового номера телефона Эбби наткнулась на сообщения не связанных с ее вновь созданного аккаунта.

Как же так WatsApp, считающийся одним из самых безопасных мессенджеров который гордится своим крутым шифрованием допустил такой дырку в безопасности?

Такое может быть с WatsApp в случае когда предыдущий владельцу телефонного номера пользовался мессенджером и не удалил свою учетную запись.

Операторы мобильной связи не скрывают о повторном использовании номеров телефона если вы долгое время не используете SIM-ку. Таким образом в WhatsApp номер SIM - карты считается именем (логином)пользователя, а пароль код верификации, когда идет отправка на номер этой же SIM - карты. При этом WhatsApp не создает резервные копии шифрованных данных разговорах на своем сервере, а только хранит на сервере сообщения, если их получатель не был в сети в режиме ожидания до 45 дней и только после истечения срока удаляются. Эбби, сообщает что сообщения была неполными что подтверждает вышеописанную гипотезу, но она утверждает что номер мобильного телефона уже более 45 дней принадлежит ей. По словам девушки она хотела установить WhatsApp после того как приобретет новую модель любимого смартфона и по этому когда купила новую SIM-карту не устанавливала WhatsAppна на старый.

Тем самым возникает вопрос об шифровании самого мессенджера WhatsApp - каким образом Эбби без ключа шифрования на ее новом смартфоне и новой SIM - картой смогла прочесть зашифрованные сообщения предыдущего пользователя?

Дело в том что такие баги WhatsApp стали причиной того, что сообщения сохранились без какого либо шифрования и по факту нет там ни каких ключей шифрования.
Причина в том что дыра WhatsApp доверяет новым ключам шифрования - это означает то что новая SIM - карта или смартфон, используется такая схема потому что используется баг о не доставленных сообщениях.
В мессенджере стоит автоматическое повторное шифрование, создано для того чтобы когда ваш собеседник был вне доступа покрытия сети мог получить сообщение которое вы ему отослали в это время. Сервер хранит ваше отосланное сообщения, а что бы ему хранить его серверу надо его расшифровать. И только потом когда ваш собеседник появляется в зоне покрытия сети сервер шифрует повторно ваше сообщение, отправляет собеседнику зашифрованным и выскакивает баг WhatsApp в виде того что сервер не проверяет получателя повторно.

Подробней об этом инциденте Thehackernews.com

Совет: обязательно при смене номера телефона SIM-карт и смартфона удаляйте аккаунт WhatsApp.


Comments 3


@nachetchik, поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:

Награда за количество опубликованных постов

Вы можете нажать на бейдж, чтобы увидеть свою страницу на Доске Почета.
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом стоп

Вы можете проголосовать за это уведомление для того, чтобы помочь всем пользователям Голос. Как? Читайте здесь.

14.01.2019 11:13
0

А также мы используем отличный вариант стабильного ЗАРАБОТКА - это уникальный робот-бот в Telegram, который за выполнение несложных и даже полезных заданий платит токенами RKT8, стоимость которых вчера превысила 8$ - традиционная профессиональная аналитика, пожелания баблишка и крепкой шишки ;) жми на ссылку и приступай к выполнению! ссылка

14.01.2019 11:48
0

Ваш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
vict0r, jorzhik, evgeniybb, ezavarov
Поэтому я тоже проголосовал за него!

Узнать подробности о сообществе можно тут:
Разрешите представиться - Кит Добрый
Правила
Инструкция по внесению Инвестиционного взноса
Вы тоже можете стать Инвестором и поддержать проект!!!


Если Вы хотите отказаться от поддержки Доброго Кита, то ответьте на этот комментарий командой "!нехочу"


dobryj.kit теперь стал Делегатом! Ваш голос важен для всего сообщества!!!
Поддержите нас:

15.01.2019 07:03
0
My pageSettingsLogout
Cancel Confirm
100%
Cancel Confirm
Cancel Confirm