Сотруднику Калифорнийского университета в Беркли удалось обнаружить в мобильном мессенджере Whats App серьезную уязвимость, которая позволяет третьим лицам получать доступ к пользовательским сообщениям невзирая на шифрование. Сообщение об этом было опубликовано влиятельным изданием Tha Guardian.

Как известно, шифрование в мобильном мессенджере достигается за счет генерации ключей, каждый из которых является уникальным. Такие ключи доступны исключительно участникам диалога. Разработчики североамериканской компании Facebook, Inc., которая является собственником данного сервиса, утверждают, что получить доступ к пользовательской переписке не может никто, кроме ее участников, в том числе и сами сотрудники Whats App.

Между тем согласно заявлению Т. Болтера, специализирующегося на исследовании шифровальных систем, ему удалось обнаружить в мобильном мессенджере критическую уязвимость, позволяющую сторонним пользователям генерировать ключи для сообщений, которые были отправлены пользователю, находящимся в офлайне. В результате отправителю сообщения приходится заново шифровать его, поскольку оно отмечается как недоставленное, и снова отправлять его адресату.

Суть найденной Болтером лазейки сводится к тому, что получатель сообщения даже не догадается о его перешифровке, а его отправитель будет поставлен в известность об имевшей место подозрительной активности лишь в том случае, если у него в настройках активирована соответствующая опция. Болтер подчеркивает, что обнаруженная им уязвимость позволяет сотрудникам мобильного мессенджера Whats App легко знакомиться с содержимым любой пользовательской переписки.

Таким образом, если официальные власти или спецслужбы обратятся к руководству сервиса с просьбой о предоставлении доступа, то сотрудники Whats App смогут легко это сделать с помощью подмены ключей.

Болтер акцентировал внимание на том, что найденная им уязвимость не имеет отношения ко всей технологии Signal, разработанной специалистами компании Open Whisper System, которая, собственно и положена в основу системы шифрования мобильного мессенджера Whats App. По его словам, оригинальная версия технологии Signal не дает системе доставить сообщение с подмененным ключом, при этом она тут же уведомляет о такой попытке пользователя.