Методы шифрования в WhatsApp - мечта АНБ

image

Теги: SSL, шифрование, исследование

Реализация SSL шифрования раскрывает широкий горизонт возможностей перед злоумышленниками.

Мобильное приложение WhatsApp, предназначенное для передачи сообщений и выкупаемое социальной сетью Facebook за $19 миллиардов, представляет собой крайне привлекательную для хакеров и государственных шпионов платформу. Об этом со ссылкой на исследователей безопасности из компании Praetorian сообщает издание Ars Technica.

По словам экспертов, проблема заключается в неэффективной реализации методов шифрования, позволяющей третьим лицам с относительной легкостью осуществлять перехват пользовательского трафика. Речь идет о протоколе secure sockets layer (SSL) версии 2, которая подвержена ряду "широко известных атак".

Более того, разработчики WhatsApp также не реализовали механизм защиты "certificate pinning", предназначенный для блокирования атак с использованием поддельных сертификатов. Данная технология давно используется в Twitter, Facebook и Google.

Другими существенными недостатками, по мнению исследователей безопасности, являются использование SSL null cipher и SSL export ciphers: "Это те вещи, которые хотели бы видеть в приложениях сотрудники АНБ".

Ознакомиться с отчетом исследователей из Praetorian можно здесь

comments powered by Disqus