WhatsApp, дочерняя компания Facebook, включила сквозное шифрование сообщений для всех пользователей своего мессенджера, сообщило издание Wired. Шифрование касается любых данных, будь то текстовые сообщения, изображения, видео, аудио или голосовые звонки, — и работает, в том числе, в групповых чатах.
WhatsApp - самый популярный мессенджер в мире, в котором появилось сквозное шифрование. В мессенджере Telegram Павла Дурова такая функция присутствовала изначально. Активная аудитория Telegram составляет около 100 млн пользователей, тогда как у WhatsApp - около 1 млрд. Единственный сервис, позволяющий обмениваться сообщениями, в котором количество пользователей превышает 1 млрд, это соцсеть Facebook, аудитория которой равна 1,5 млрд человек.
Сквозное шифрование
Сквозное шифрование (end-to-end encryption) подразумевает, что сообщение находится в зашифрованном виде на всем пути следования от отправителя к получателю. Ключ, с помощью которого сообщение можно расшифровать, находится только у адресата. Компания WhatsApp им не владеет, то есть она не сможет передать его властям, даже если они будут на этом настаивать.
Поэтапное внедрение технологии
Шифрование в WhatsApp появлялось поэтапно. В 2014 г. компания оснастила сквозным шифрованием приложение для Android. Таким образом, с 2014 г. пользователи уже обменивались зашифрованными сообщениями, но только в рамках одной платформы.
Теперь же оно стало доступно владельцам устройств на платформах iOS, Windows Phone, Nokia S40, Nokia S60, BlackBerry OS и BlackBerry 10. Для того чтобы воспользоваться новой возможностью, необходимо установить последнюю версию приложения WhatsApp.
Проверка подлинности
Пользователям WhatsApp, установившим последнюю версию клиента, будет доступна опция проверки подлинности собеседника. Для этого нужно будет сравнить цифровой код на своем экране и код на экране собеседника либо позволить собеседнику с помощью камеры на мобильном устройстве считать QR-код с экрана инициирующего соединение пользователя. После этого в чате возникнет пометка, что соединение полностью зашифровано.
Используемый протокол
Партером WhatsApp по внедрению новой возможности стала компания Open Whisper Systems, разработчик мобильного приложения Signal — любимого мессенджера Эдварда Сноудена (Edward Snowden), который в 2013 г. передал журналистам большое количество секретных документов, раскрывающих зачастую незаконную деятельность Агентства национальной безопасности США, в котором он работал системным администратором,
Шифрование в Signal — а теперь и в WhatsApp — базируется на протоколе Signal Protocol. Это асинхронный протокол с открытым исходным кодом. Он, в свою очередь, был создан на основе протокола Off-the-Record (OTR) Messaging Protocol. Одно из ключевых свойств OTR — и, как следствие, Signal Protocol, заключается в так называемой «прямой секретности» (forward secrecy), которая еще называется «совершенной прямой секретностью» (perfect forward secrecy).
В отличие, например, от популярного протокола шифрования электронной почты PGP, в котором сообщения шифруются снова и снова одним и тем же публичным ключом, в прямой секретности используются новые ключи для каждой сессии. Поэтому, если некто годами записывает зашифрованный трафик в надежде однажды декодировать его, в случае с прямой секретностью он обречен на провал.
Злоумышленники обновили давно известную схему с курьерской доставкой, сделав её заметно убедительнее. Теперь они усиливают «социальную привязку», утверждая, что заказчиком услуги является родственник получателя, и даже называют его по имени. Это создаёт у жертвы ощущение реальности происходящего и снижает бдительность.
Ранее мошенники, как правило, не уточняли отправителя, делая ставку на фактор срочности. Их основной целью было получение идентификационных кодов от различных сервисов либо их имитация — с последующим развитием атаки и попытками похищения средств. Деньги при этом выманивались под предлогом «перевода на безопасный счёт» или передачи наличных курьеру.
Как отметил эксперт по киберразведке Angara MTDR Юрий Дубошей, в обновлённой схеме цели злоумышленников в целом не изменились. Речь по-прежнему идёт о получении контроля над учётной записью, подтверждении действий от имени жертвы или подготовке почвы для хищения денежных средств. Однако теперь этого добиваются за счёт усиленного психологического давления и одновременных попыток повысить уровень доверия.
В Angara Security напомнили, что сотрудники служб доставки никогда не просят сообщать коды подтверждения. При появлении подобных требований разговор следует немедленно прекратить.
При этом никуда не исчезла и более традиционная фишинговая схема, в которой используются точные копии сайтов известных сервисов доставки. Такие схемы также продолжают эволюционировать, становясь всё более сложными и правдоподобными.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
