Исследователи безопасности выяснили, что WhatsApp и Viber лучше не использовать, если у вас есть секреты и вы хотите сохранить в тайне свои переговоры с другими людьми.


Пользователь Habrahabr под ником tambovchanin рассказал, что через мессенжер Viber можно подслушивать телефонные разговоры. Для этого требуется оставаться на линии по голосовой связи, пока ваш собеседник поставил вас на удержание и общается по телефону:

Абонент Б находясь на удержании, наживает на кнопку «Удержание» дважды, тем самым поставив и сняв режим удержания со своей стороны, данная опция доступна при разговоре по мобильному телефону или с планшета, в стационарном клиенте я такой кнопки не нашел.

Проделав данные действия абонент Б слышит разговор абонента А, правда без возможности участвовать в нем. Абонент А никак не понимает, что его в этот момент уже «подслушивают» и когда заканчивает разговор по мобильной сети — возвращается в Viber для продолжения диалога с абонентом Б.

Данная проблема была отправлена в поддержку Viber 4 октября 2016 года и получила номер #2620428. 22 ноября я напомнил им, что вышло уже 2 обновления Viber с момента отправки мной первого письма, но проблема не устранена.

В WhatsApp найдена более серьёзна проблема безопасности, от которой может пострадать любой пользователь. Учёный из Калифорнийского университета Тобиас Болтер в Беркли выяснил, что этот мессенджер может незаметно для пользователей менять ключи шифрования и предоставлять компании WhatsApp доступ к переписке.

В WhatsApp реализована система двухстороннего шифрования, при котором ключи для дешифровки сообщений в чате есть только у собеседников. Однако, как узнал Тобиас Болтер, WhatsApp может генерировать собственные ключи для дешифровки переписки пользователей, находящихся офлайн (то есть, фактически для всех). Подмена ключа будет заметна только в том случае, если у пользователя установлено оповещение о подозрительных действиях с ключами. В том случае, если пользователь не установил такое оповещение, он не узнает, что WhatsApp подменил ключ и потенциально мог сохранить его переписку в расшифрованном виде.

Получатель не узнаёт о смене ключа, а отправитель может обнаружить проблему в том случае, если в настройках аккаунта включены уведомления о подозрительных действиях с ключами шифрования. Оповещение о проблеме он получит только после того, как сообщения окажутся зашифрованы и заново отправлены получателю.

Тобиас Болтер нашёл эту уязвимость в WhatsApp ещё весной 2016 года, когда в мессенджере только появилось двустороннее шифрование, однако она до сих пор не устранена. Разработчики WhatsApp отреагировали на эту уязвимость лишь недавно, сказав, что это — особенность работы мессенджера, благодаря которой он может синхронизировать сообщения после смены устройства или SIM-карты, а также не терять переписку «в пути», если пользователь находится не в сети. кроме того, в WhatsApp подчеркнули, что мессенджер предупреждает пользователей об изменениях ключей шифрования, то есть обращает их внимание на возможность перехвата переписки. Примечательно, что в мессенджере Signal, который использует аналогичный алгоритм шифрования переписки от компании Open Whisper Systems, этой уязвимости нет.

Система Orphus