Может ли Meta читать переписки в WhatsApp: криптограф оценил риски

Может ли Meta читать переписки в WhatsApp: криптограф оценил риски

Может ли Meta читать переписки в WhatsApp: криптограф оценил риски

Вокруг WhatsApp (принадлежит Meta, признанной экстремистской и запрещённой в России) разгорается громкий спор о конфиденциальности. В связи с недавним коллективным иском и позицией Meta (корпорация признана экстремистской и запрещена в России) известный криптограф решил прокомментировать ситуацию.

Несмотря на многолетние заявления основателей мессенджера и самой Meta о сквозном шифровании, в США подан коллективный иск, в котором утверждается: сквозное шифрование в WhatsApp — фикция, а сотрудники Meta якобы могут читать любые сообщения пользователей в реальном времени.

По словам заявителей, сотруднику компании достаточно отправить внутренний запрос («task») инженеру Meta, и доступ к переписке любого пользователя будет предоставлен. Более того, утверждается, что читать можно не только текущие сообщения, но и всю историю с момента регистрации аккаунта, включая удалённые сообщения.

Если это правда, речь будет идти об одном из крупнейших скандалов в истории технологической индустрии — фактически о полном обмане миллиардов пользователей.

На ситуацию отреагировал профессор Университета Джонса Хопкинса и известный криптограф Мэттью Грин. В своём блоге он подробно разобрал обвинения и попытался оценить, насколько они вообще реалистичны.

Грин напоминает: WhatsApp действительно построен на протоколе Signal, который считается эталоном сквозного шифрования. Однако код самого WhatsApp закрыт, а значит, независимые исследователи не могут напрямую проверить, как именно реализовано шифрование.

Тем не менее, по мнению Грина, вероятность того, что обвинения соответствуют действительности, крайне мала. Он приводит два основных аргумента:

  1. Если бы Meta действительно имела скрытый доступ к переписке, это почти наверняка уже обнаружили независимые исследователи.
  2. Следы такого механизма неизбежно «засветились» бы в коде приложения. Даже если исходники закрыты, старые версии WhatsApp можно скачать, декомпилировать и проанализировать — и это делают не только энтузиасты, но и профессионалы.

Да, признаёт Грин, подобный анализ — сложная и трудоёмкая задача. Но сам факт, что он в принципе возможен, делает идею о сознательной лжи со стороны Meta крайне рискованной и, по его словам, «массово глупой» с точки зрения бизнеса и юридических последствий.

В итоге криптограф сводит всё к вопросу доверия и цитирует легендарное выступление Кена Томпсона «Reflections on Trusting Trust». Надёжной проверки не существует, и в какой-то момент пользователю всё равно приходится доверять. Вопрос лишь в том, разумно ли считать, что WhatsApp тайно проворачивает «самую масштабную аферу в истории технологий». По мнению Грина, без конкретных доказательств — нет, неразумно.

Он также отмечает, что ситуация здесь не уникальна: код сквозного шифрования в iMessage и FaceTime тоже не является открытым, и пользователи Apple находятся ровно в таком же положении.

Пока иск остаётся на уровне громких заявлений, а технических подтверждений им нет. Однако недавно экс-подрядчики заявили о неограниченном доступе к переписке WhatsApp.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru