Уязвимость в WhatsApp позволяет шпионам проникнуть в групповые чаты

Олег Иванов 11 Января 2018 - 08:13

...

Уязвимость в WhatsApp позволяет шпионам проникнуть в групповые чаты

Согласно новым исследованиям команды немецких криптографов, недостатки в коде приложения WhatsApp позволяют проникать в групповые чаты со стороны. На конференции по безопасности Real World Crypto, проходящей в Цюрихе группа исследователей из Рурского университета в Бохуме описала ряд брешей в безопасности таких приложений, как WhatsApp, Signal и Threema.

Недостатки Signal и Threema оказались достаточно безвредными, а вот в WhatsApp экспертам удалось обнаружить гораздо более значительные пробелы в безопасности. Специалисты утверждают, что любой контролирующий серверы WhatsApp может легко добавлять новых людей в личную группу, даже если у него нет разрешения администратора, который якобы контролирует доступ к этому чату.

«Конфиденциальность общения в групповом чате нарушается в тот момент, когда получивший несанкционированный доступ участник может получать новые сообщения и читать их. Этот нюанс полностью нивелирует пользу от сквозного шифрования, так как добавление новых участников переписки должно быть защищено», — утверждает Пол Рёслер, один из исследователей Рурского университета.

Эксперт объясняет, что при сквозном шифровании даже скомпрометированный сервер не должен раскрывать переписки. Только участники переписки должны иметь возможность читать сообщения WhatsApp.

«Если вы создадите систему, в которой все будет доверять серверу, вы можете отказаться от всей сложности имплементации сквозного шифрования и вообще забыть о нем. Это явное нарушение конфиденциальности, здесь нет оправданий», — заявил профессор криптографии Мэтью Грин.

Немецкие исследователи говорят, что их атака на WhatsApp использует простую ошибку. Только администратор группы WhatsApp может приглашать новых участников, но проблема в том, что приложение не использует механизм проверки подлинности этого приглашения.

Таким образом, сервер может просто добавить нового участника в группу без какого-либо взаимодействия с администратором, затем секретные ключи автоматически делятся с этим новым участником, предоставляя ему полный доступ к любым будущим сообщениям (сообщения, отправленные до добавления несанкционированного участника, к счастью, не могут быть расшифрованы).

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 10 Сентября 2025 - 15:52

Уязвимости программ Домашние пользователи Google

Обновление Chrome закрывает критический баг в ServiceWorker и Mojo

Google выпустила обновление стабильной версии Chrome для Windows, macOS и Linux, закрыв два серьёзных уязвимости. Теперь браузер обновлён до версий 140.0.7339.127/.128 для Windows, 140.0.7339.132/.133 для macOS и 140.0.7339.127 для Linux.

Главная проблема — критическая уязвимость CVE-2025-10200 в компоненте ServiceWorker.

Это баг типа use-after-free, когда программа обращается к памяти после её освобождения. Такая ошибка позволяет злоумышленникам запускать произвольный код, повышать привилегии или «ронять» приложение.

С учётом того, что ServiceWorker отвечает за работу фоновых процессов — например, пуш-уведомлений и кеширования, — успешная атака могла бы привести к перехвату сессий или внедрению вредоносных скриптов.

Вторая уязвимость — CVE-2025-10201, связана с некорректной реализацией в системе Mojo, которая используется для взаимодействия между процессами Chrome. Ошибка могла дать возможность выйти за пределы песочницы или вызвать сбои в работе браузера.

Пользователям рекомендуется как можно скорее обновить Chrome до последней версии, чтобы исключить риск эксплуатации этих уязвимостей.