The Intercept: уязвимость в WhatsApp позволяет правительствам отслеживать переписку пользователей

от автора

В марте команда безопасности WhatsApp выпустила внутреннее предупреждение коллегам, в котором говорилось, что даже шифрование не помогает защитить переписку пользователей от отслеживания со стороны государств. По данным The Intercept, правительственные учреждения могут выяснить, какие пользователи общаются друг с другом, в каких частных группах они состоят и где находятся физически.

Уязвимость основана на «анализе трафика», методике мониторинга сети, существующей уже несколько десятилетий. Она не позволяет раскрыть содержимое диалогов, но даёт другую ценную информацию. «WhatsApp должен смягчить продолжающееся использование уязвимостей анализа трафика. Нашим пользователям из группы риска нужна надёжная защита», — говорится в оценке группы мессенджера. 

В WhatsApp заявили об отсутствии бэкдоров и доказательств эксплуатации уязвимостей. При этом в оценке команды «уязвимости» описываются как «текущие».

В анализе отмечается, что правительство может легко определить, когда человек использует WhatsApp, отчасти потому, что данные должны проходить через легко идентифицируемые корпоративные серверы. Затем правительственное учреждение может раскрыть конкретных пользователей, отслеживая их IP-адрес и учётную запись интернет-провайдера или поставщика услуг сотовой связи.

Команда внутренней безопасности WhatsApp выявила несколько примеров того, как умелое наблюдение за зашифрованными данными может вызвать корреляционную атаку. В одном случае пользователь отправляет сообщение группе, в результате чего на устройства всех членов этой группы передаётся пакет данных одинакового размера. Другая корреляционная атака предполагает измерение временной задержки между отправкой и получением сообщений WhatsApp между двумя сторонами. Это позволяет определить расстояние и, возможно, местоположение каждого получателя.

Эти атаки требуют, чтобы все члены группы WhatsApp или обе стороны разговора находились в одной сети и в пределах одной страны или «договорной юрисдикции».

Оценка показывает, что WhatsApp знает об этой угрозе с прошлого года, а она актуальна и для других приложений. «Почти все основные приложения для обмена сообщениями и коммуникационные инструменты не включают атаки с анализом трафика в свои модели угроз», — отмечает Донча О’Сирбхейл, глава лаборатории безопасности Amnesty International.

Инженеры WhatsApp осознают серьёзность проблемы, но не понимают, как исправить её, так как требуется найти компромисс между производительностью и оперативностью, а также конфиденциальностью. Опция искусственной задержки отправки сообщений скажется на всех пользователях, а отправка потока ложных данных для маскировки реальных разговоров может отпугнуть уже правительства. Кроме того, это чревато сокращением срока службы батареи и увеличением счетов за мобильную связь.

Сотрудники службы безопасности WhatsApp отмечают, что мессенджер может ввести усиленный режим безопасности для пользователей из группы риска, аналогичный «режиму блокировки» Apple для iOS. Но и это может быть рискованно, так как правительства будут выявлять уже этих пользователей.


ссылка на оригинал статьи https://habr.com/ru/articles/816497/