Чаты WhatsApp на iPhone и Mac могут храниться без локального шифрования

Чаты WhatsApp на iPhone и Mac могут храниться без локального шифрования

Чаты WhatsApp на iPhone и Mac могут храниться без локального шифрования

Исследователи снова заглянули под капот WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) и там, мягко говоря, не всё в порядке. Специалисты Mysk заявили, что на macOS и iOS мессенджер может хранить базы чатов в незашифрованном виде внутри общего контейнера приложений Meta.

Речь идёт о механизме app group containers на платформах Apple. Он нужен, чтобы приложения одного разработчика могли обмениваться данными.

В случае Meta это общий контейнер group.com.facebook.family, которым, по данным исследователей, могут пользоваться WhatsApp, Facebook и Instagram (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России).

Главная претензия простая: если история переписок лежит локально без шифрования, то сквозное шифрование уже не выглядит таким бронебойным. Да, оно защищает сообщения при передаче, но не гарантирует, что локальная база на устройстве будет такой же неприступной.

По словам Mysk, другие приложения Meta на том же устройстве теоретически могут получить доступ к данным WhatsApp без отдельного согласия пользователя. При этом никаких понятных уведомлений для пользователя о таком доступе не предусмотрено.

 

Исследователи также показали, что данные чатов можно извлечь из резервных копий iPhone, где видна та же незашифрованная структура. То есть проблема касается не только самого приложения, но и того, как эти данные живут в бэкапах.

Отдельно ситуацию портит уязвимость macOS CVE-2026-28910 в Archive Utility. Она позволяла обходить защиту App Sandbox и получать почти неограниченный доступ к файловой системе. В связке с особенностями хранения WhatsApp это могло дать атакующим доступ к чатам, а также данным других приложений вроде Сообщения и Safari.

Правда, не все считают ситуацию катастрофой. WABetaInfo отмечает, что локальные базы WhatsApp всё же находятся внутри песочницы Apple, а значит, просто так залезть туда стороннее приложение не должно. Для доступа нужны системные привилегии или эксплуатация уязвимостей ОС.

Но Mysk отвечает: общий контейнер приложений Meta сам по себе ослабляет изоляцию. Пользователь может думать, что WhatsApp, Facebook и Instagram живут каждый в своей комнате, а на деле у них может быть общий коридор с дверями без нормальных табличек.

Пользователям советуют включать шифрование резервных копий iPhone через iTunes или Finder, обновлять iOS и macOS, использовать надёжный пароль устройства и не плодить лишние приложения из одной экосистемы, если приватность действительно важна.

Активной массовой эксплуатации пока не зафиксировано.

В Госдуме объяснили разницу между суверенным и национальным ИИ

В России хотят разделить искусственный интеллект на два типа: суверенный и национальный. Звучит почти одинаково, но разница есть, её в эфире Радио РБК объяснил первый зампред комитета Госдумы по информационной политике, информационным технологиям и связи Антон Ткачев.

По его словам, суверенная модель ИИ — это полностью российская разработка. То есть все компоненты должны быть произведены на территории России.

Такой вариант, как пояснил депутат, в первую очередь нужен для чувствительных сфер: обороны, силовых структур и других направлений, где безопасность должна быть максимально жёсткой.

Тут логика простая: чем меньше внешних зависимостей, тем меньше поводов нервно смотреть на поставщиков и инфраструктуру.

Национальный ИИ — уже более гибкая история. Такая модель может использовать иностранные компоненты, но при этом должна размещать серверы на территории России. Это, по словам Ткачева, нужно для контроля над сервисами и их работой внутри страны.

Депутат также отметил, что России не стоит полностью закрываться от мировых разработок в области ИИ. По его мнению, для национальной модели можно брать лучшее и дорабатывать собственные решения, сохраняя при этом ключевое условие — размещение инфраструктуры в России.

Ранее власти скорректировали законопроект о регулировании искусственного интеллекта. В документе как раз появляются понятия суверенных и национальных моделей. В конце июня проект внесли в Госдуму. Если его успеют принять в весеннюю сессию, основные положения должны вступить в силу с 1 марта 2027 года.

Так что ИИ в России, похоже, хотят разложить по полкам: полностью свой — для самых закрытых и чувствительных задач, гибридный с иностранными компонентами — для более широкого применения, но с серверами на российской земле.

RSS: Новости на портале Anti-Malware.ru