В описании к мессенджеру WhatsApp указано, что он работает по принципу сквозного шифрования. Эта черта считается одним из главных достоинств программы. Но далеко не всем пользователям понятно, что стоит за таким названием. Для многих людей будет логичным вопрос: «Что это - сквозное шифрование WhatsApp?».
В классических мессенджерах следующая схема переписки между пользователями: сообщение отправляется с первого устройства на сервера разработчика, а оттуда оно доставляется до адресата. В современных приложениях, к которым относится в Ватсап , она немного изменена.
Теперь сообщение еще до отправки шифруется на смартфоне. На сервер оно приходит не в виде набранного текста, а в форме хаотичных для человека символов. Оттуда сообщение перенаправляется на смартфон или планшет адресата, где дешифруется. Ключом шифрования называется какая-то последовательность символов, определяющая «азбуку» шифра. Это некая форма алфавита. Но в случае Вацапа, ключ уникальный для каждого устройства. Вернее, их два: первый отвечает за преобразование текста при отправке, второй - при получении.
Взломать такую систему возможно только в случае знания этого ключа шифрования WhatsApp. А он записан непосредственно на устройстве пользователя. Такова современная защита в мессенджере.
Разработчиками WhatsApp не предусмотрено отключение сквозного шифрования. Это упомянуто даже на официальном сайте приложения. Такое решение вполне логично, ведь для пользователей всегда была важна сохранность и безопасность личной информации. А если деактивировать эту функцию, то и защищенность уйдет.
Однако стоит упомянуть, что не все так категорично. Если вы ищете, как убрать сквозное шифрование в Вацапе, то такой способ есть. Достаточно установить на смартфон или планшет старую версию Ватсапа, где данная функция отсутствовала.
Но в таком случае никто не сможет гарантировать, что в ваши переписки не заберутся посторонние люди. При этом нужно учитывать, что для установки старой версий программы нужно будет отключить защиту на мобильном устройстве.
В случае с Android все просто, достаточно активировать режим «Установка с неизвестных источников» в меню настроек разработчика. А вот для iOS потребуется джейлбрейк - вариант взлома - который может привести к поломке iPhone или iPad.
Внимание: на официальной странице WhatsApp отсутствует раздел, где можно найти старые версии. Это значит, что придется загружать приложение со сторонних ресурсов, на которых могут содержаться вирусы.
Что в WhatsApp была найдена проблема, которая в теории позволяет сотрудникам Facebook и другим посторонним лицам читать переписку пользователей. Хотя представители Facebook заявляют, что перехватить сообщения WhatsApp не может никто, исследователь Тобиас Бёлтер (Tobias Boelter) из калифорнийского университета в Беркли с ними не согласен.
Бёлтер рассказал журналистам Guardian, что проблема связана с имплементацией протокола для end-to-end шифрования, который использует мессенджер. Напомню, что end-to-end шифрование WhatsApp строится на протоколе Signal, созданным Open Whisper Systems. Мессенджер генерирует уникальные ключи шифрования, которые и защищают переписку пользователей. Но исследователь установил, что WhatsApp может принудительно сгенерировать новые ключи, к примеру, если пользователь долгое время не появлялся в онлайне или сменил устройство. И об этой особенности мессенджера ранее известно не было.
В итоге возникает странная ситуация: пользователь отправляет сообщение реципиенту, который долгое время находится оффлайне. Сообщение повисает как не отправленное, и за то время, что пользователь находится в оффлайне, WhatsApp успевает сменить ключ шифрования, о чем не знают ни отправитель, ни получатель. В итоге, получив повторно отправленное сообщение, реципиент вообще не узнает о случившемся, а отправитель сообщения получит уведомление о смене ключа шифрования лишь в том случае, если он заранее включил такую опцию в настойках безопасности. Более того, уведомление будет показано уже после повторной отправки сообщения.
По мнению Бёлтера – это серьёзная проблема. «Если правительственное учреждение потребует, чтобы WhatsApp раскрыл данные о переписке пользователей, по сути, доступ может быть предоставлен через смену ключей», - говорит исследователь.
Еще в апреле 2016 года специалист сообщил о найденной уязвимости представителям Facebook. Тогда исследователю ответили, что компания знает о проблеме, назвали эту особенность работы мессенджера «ожидаемым поведением» и сообщили, что исправлять баг (или лучше сказать бэкдор?) в ближайшее время не собираются.
«Имплементация протокола Signal, которую использует WhatsApp, позволяет включить опцию “Показывать уведомления безопасности” (Настройки -> Учетная запись -> Безопасность), которая уведомит вас о том, что код безопасности контакта сменился. Мы знаем, что в основном такое происходит, когда кто-то меняет телефон или переустанавливает WhatsApp. Потому что в большинстве стран мира люди часто меняют устройства и SIM-карты. В данных обстоятельствах мы хотим, чтобы сообщения доходили до получателей, а не терялись в пути.
WhatsApp не предоставляет правительствам “бэкдор” для своих систем и будет бороться с любыми правительственными запросами на создание бэкдоров», - прокомментировал Guardian представитель WhatsApp.
Стоит сказать, что мессенджер Signal, который тоже базируется на одноименном протоколе, не имеет такой проблемы. Если у реципиента сменился ключ шифрования, пока тот находился в оффлайне, отправка сообщения завершится неудачей, а отправитель получит уведомление о смене ключа. Автоматической повторной отправки сообщения Signal не предусматривает – это особенность собственной имплементации, используемой WhatsApp.
«Некоторые могут решить, что данная уязвимость позволяет перехватить только отдельные сообщения, а не все разговоры в целом. Это не так. Нужно учитывать, что сервер WhatsApp способен перенаправлять сообщения, не отображая при этом уведомления “сообщение получено реципиентом” (или двойную галочку), то есть пользователь может этого не заметить. Используя уязвимость, связанную с такой ретрансляцией, позже сервер WhatsApp может восстановить полную копию всего разговора, а не только отдельное сообщение», - объясняет Бёлтер.
Журналисты Guardian отмечают, что ИБ-эксперты и правозащитники уже назвали данную проблему «золотой жилой для силовых структур, огромным предательством доверия пользователей и угрозой свободе слова».
Сквозное шифрование предназначено скрывать переданную информацию от постороннего доступа с помощью криптографических замков. Для получения сообщения у каждого пользователя имеется особый ключ, позволяющий расшифровать полученные данные. Благодаря технологии сквозного шифрования получить доступ к передаваемой информации не могут даже сервера, через которые она проходит.
Зашифровка сообщений в мессенджере означает, что личные данные не попадут к посторонним. Передаваемая информация закодирована с помощью особого шифра, ключ к которому есть только у переписывающихся сторон. Вотсап шифрует не только сообщения, но и звонки, поэтому пользователи могут быть уверены, что данные останутся недоступными при любом способе общения. Особенность такого вида шифрования заключается в том, что в каждом чате собеседники имеют индивидуальные ключи, это QR-код или шестидесятизначный номер, являющиеся кодом безопасности. Это только видимая часть ключа, полная версия кода никогда не является доступной.Можно ли перехватить сообщения whatsapp
В связи с тем, что WhatsApp является популярным мессенджером, интерес к нему хакеров, спецслужб и просто любопытных не ослабевает. Многим интересно, возможно ли перехватить сообщения в вотсап и как это сделать. Взломать чужой whatsapp по номеру телефона невозможно, благодаря функции сквозного шифрования. Однако людское любопытство неистребимо, что привело к открытию уязвимости во время подключения к wi-fi с помощью специального софта. Для того чтобы избежать подобных ситуаций, просто не стоит скачивать сомнительные программы и подключаться к сети wi-fi в общественных местах. Так пользователь убережет свои конфиденциальные данные от различных «кибер-шпионов».
WhatsApp сделал большой шаг к защите конфиденциальных данных, включив оконечное шифрование. Так как эта функция вшита в сам программный код мессенджера, то отключить ее невозможно. Шифрование активируется при первом запуске программы и активно всегда.
Сквозное шифрование предполагает отсутствие возможности расшифровать данные без специального криптографического ключа, который доступен лишь с телефона пользователя и меняется для каждого отправленного сообщения. Благодаря такой функции расшифровать сообщение без этих данных представляется практически невозможным. Поэтому, при соблюдении простейших мер безопасности в сети интернет, личная переписка не станет доступной окружающим. В том числе и спецслужбам.
WhatsApp может предоставить информацию согласно законодательству страны и конфиденциальному соглашению, однако шифрование не позволяет прочитать переписку даже на серверах мессенджера, через которые проходят зашифрованные данные.
Что такое шифрование в «Ватсапе»? Этот вопрос стал популярным в последнее время из-за того, что на многих смартфонах в одноименном мессенджере появилось окошко с текстом: «Сообщения, которые вы отправляете в данный чат, и звонки сейчас защищены шифрованием. Узнать больше». Связано это с обновлением программы: разработчик ввел систему полного шифрования данных, чтобы обеспечить безопасность своих клиентов.
Как работает защита информации внутри чата после нововведения? Шифрование – то есть обратимая перекодировка данных – происходит с использованием технологии end-to-end encryption. Это сквозное шифрование сообщений в WhatsApp, благодаря которому никто, даже сотрудники компании-разработчика, не сможет прочесть абсолютно ничего, что написано в чате. Диалог в WhatsApp зашифрован вне зависимости от количества его участников: от двух в личной беседе до множества в групповой переписке.
Таким образом, легко ответить на вопрос о том, что значит в «Вотсапе»: «Сообщения и звонки защищены шифрованием». Ничего негативного в данном обновлении нет. Впервые такая технология была задействована в работе приложения Telegram. Павел Дуров, которому принадлежит этот продукт, запустил обновленную версию после того, как узнал из сообщений Эдварда Сноудена о массовом прослушивании звонков и просматривании сообщений граждан США их же спецслужбами. Дуров посчитал нужным изобрести метод, который бы качественно повысил уровень защиты пользователя, и запустил оконечное преобразование end-to-end encryption.
Важно отметить, что в «Вацап» шифрование данных происходит на всех уровнях: актуальна шифровка не только для текста, но и для всех мультимедийных файлов: фото, музыки, видеозаписей. Более того, новая версия утилиты шифрует даже голосовые звонки.
Сообщение о том, что шифрование переписки в WhatsApp подключено, появилось не у всех пользователей. Поэтому юзеры, ознакомленные с последними новостями в мире программного обеспечения, задаются вопросом: как зашифровать сообщение в «Ватсап»? Как настроить эту функцию? На самом деле никаких хитрых манипуляций не потребуется. Каждый, кто установил обновление до последней версии, уже включил шифрование. Это означает, что функция теперь работает по умолчанию.
В июне 2016 это обновление стоит почти у всех пользователей смартфонов на android и владельцев iphone (операционная система ios). Но чтобы убедиться в том, что оконечное шифрование происходит, стоит проверить свою версию. Для этого нужно войти в настройки и убедиться в том, что там появилась графа «Шифрование».
Если по каким-либо причинам пользователь хочет отменить перекодировку своих веб-данных, он задается вопросом, как отключить шифрование в WhatsApp. На данном этапе это невозможно, поскольку такое желание – удалить, выключить, снять перекодировку – в принципе не имеет логических оснований.
Если пользователю это жизненно необходимо, обновление можно просто отменить путем отката всей системы. Важно не забыть снять галочку с автообновления данной программы, чтобы история не повторилась.
Как включить уведомления о безопасности?
Для этого нужно:
Итак, новое оконечное прорабатывание информации от разработчиков «Вотсапа» - отличный способ сделать свой смартфон более безопасным и защититься от web-атак, нацеленных на мониторинг личной информации.
Утверждает, что все зашифрованные мессенджеры уязвимы, и в особенности, Whatsapp. Материал наделал много шума, однако так ли все печально на самом деле? Компания-эксперт в области интернет-безопасности Open Whisper Systems утверждает, что ничего нового в The Guardian написано не было и на Вотсап “наехали” напрасно.
Прошлой весной Whatsapp выпустил крупнейшее обновление в своей истории — добавилась функция принудительного конечного шифрования, которая по сути означает, что никто, включая Whatsapp, не может прочитать вашу переписку. Вчерашнее расследование The Guardian представляет мнение эксперта, который заявляет, что Whatsapp умышленно оставил “черный ход” (backdoor) в своем коде для возможного перехвата сообщений спецслужбами и другими заинтересованными лицами. Сами же разработчики Whatsapp утверждают, что это совсем не так, и что потенциально небезопасное поведение их приложения — ни что иное как облегчение жизни своим многочисленным пользователям.
Безопасность переписки Whatsapp была разработана с помощью компании Open Whisper Systems, той самой, которая разработала самый безопасный мессенджер в мире — Signal, и в своем блоге компания подробно описывает как все работает. В Вотсап внедрен Signаl-протокол (а еще он внедрен в недавний Google Allo), который выдает каждому пользователю два ключа безопасности: публичный ключ, по которому его могут идентифицировать другие пользователи и личный приватный ключ, который будет закреплен на устройстве. Поскольку люди частенько меняют свои телефоны и перестанавливают приложения, связка ключей безопасности будет меняться соответственно этому. Пользователи могут убедиться в приватности своего общения внутри Whatsapp, проверяя код безопасности на каждом устройстве, участвующем в разговоре — если коды совпадают, это будет означать что перехват сообщений между собеседниками отсутствует (такой тип атаки называется man-in-the-middle, MITM).
Материал the Guardian основан на расследовании Тобиаса Белтера (Tobias Belter) . Он утверждает, что сервер Whatsapp можно взломать по запросам третьих лиц. То есть Вотсап может сгенерировать новый ключ безопасности и выдать его этим самым третьим лицам пока пользователи не заметят, что что-то произошло. В мессенджере Signal app любая подмена ключа безопасности результирует в невозможность отправки сообщения и в предупреждение безопасности, причем все это происходит до того, как пользователь соберется переправить сообщение заново и самостоятельно. В Whatsapp же пользователь получает уведомление о смене ключа, при этом сообщение будет автоматически перекодировано под новый ключ и отправлено адресату. То есть вы только потом сможете выяснить, действительно ли совпадает новый ключ с вашим адресатом. При том, что такую настройку о предупреждении в вашем Whatsapp еще необходимо включить вручную:
Подобное поведение Whatsapp в компании Open Whisper Systems объясняют идеологической простотой использования мессенджера. А еще, сервера Whatsapp не знают, кто включил настройку о предупреждении, а кто нет — поэтому попытка взлома может быть быстро обнаружена. Во всяком случае, “адвокаты” Whatsapp настаивают на том, что такую политику безопасности можно называть как угодно, но это не уязвимость и не backdoor. Это “особенность”.
Многие западные эксперты по безопасности соглашаются с выводами Open Whisper Systems:
It’s ridiculous that this is presented as a backdoor. If you don’t verify keys, authenticity of keys is not guaranteed. Well known fact.
Frederic Jacobs (@FredericJacobs)
