Пользователь WhatsApp получил чужие сообщения


Эбби Фуллер сотрудница Amazon в своем твиттере описала случай который с нею произошел при создании нового аккаунта WhatsApp. После установки и привязки ее нового номера телефона Эбби наткнулась на сообщения не связанных с ее вновь созданного аккаунта.

Как же так WatsApp, считающийся одним из самых безопасных мессенджеров который гордится своим крутым шифрованием допустил такой дырку в безопасности?

Такое может быть с WatsApp в случае когда предыдущий владельцу телефонного номера пользовался мессенджером и не удалил свою учетную запись.

Операторы мобильной связи не скрывают о повторном использовании номеров телефона если вы долгое время не используете SIM-ку. Таким образом в WhatsApp номер SIM - карты считается именем (логином)пользователя, а пароль код верификации, когда идет отправка на номер этой же SIM - карты. При этом WhatsApp не создает резервные копии шифрованных данных разговорах на своем сервере, а только хранит на сервере сообщения, если их получатель не был в сети в режиме ожидания до 45 дней и только после истечения срока удаляются. Эбби, сообщает что сообщения была неполными что подтверждает вышеописанную гипотезу, но она утверждает что номер мобильного телефона уже более 45 дней принадлежит ей. По словам девушки она хотела установить WhatsApp после того как приобретет новую модель любимого смартфона и по этому когда купила новую SIM-карту не устанавливала WhatsAppна на старый.

Тем самым возникает вопрос об шифровании самого мессенджера WhatsApp - каким образом Эбби без ключа шифрования на ее новом смартфоне и новой SIM - картой смогла прочесть зашифрованные сообщения предыдущего пользователя?

Дело в том что такие баги WhatsApp стали причиной того, что сообщения сохранились без какого либо шифрования и по факту нет там ни каких ключей шифрования.
Причина в том что дыра WhatsApp доверяет новым ключам шифрования - это означает то что новая SIM - карта или смартфон, используется такая схема потому что используется баг о не доставленных сообщениях.
В мессенджере стоит автоматическое повторное шифрование, создано для того чтобы когда ваш собеседник был вне доступа покрытия сети мог получить сообщение которое вы ему отослали в это время. Сервер хранит ваше отосланное сообщения, а что бы ему хранить его серверу надо его расшифровать. И только потом когда ваш собеседник появляется в зоне покрытия сети сервер шифрует повторно ваше сообщение, отправляет собеседнику зашифрованным и выскакивает баг WhatsApp в виде того что сервер не проверяет получателя повторно.

Подробней об этом инциденте Thehackernews.com

Совет: обязательно при смене номера телефона SIM-карт и смартфона удаляйте аккаунт WhatsApp.


Комментарии 3


Чтобы читать и оставлять комментарии вам необходимо зарегистрироваться и авторизоваться на сайте.

Моя страницаНастройкиВыход
Отмена Подтверждаю
100%
Отмена Подтверждаю
Отмена Подтверждаю