WhatsApp позвала на помощь в реализации end-to-end шифрования
- четверг, 20 ноября 2014 г. в 02:11:24
Компания-разработчик популярного мобильного приложения WhatsApp вступила в партнёрство с криптографической фирмой Open Whisper Systems, чтобы обеспечить надёжное шифрование коммуникаций в своей программе и положить конец разговорам о «дырявости» WhatsApp.
Разработчики обращают внимание, что в последних версиях приложения WhatsApp для Android уже реализована поддержка протокола шифрования TextSecure. Правда, шифрование пока не распространяется на групповые чаты и передаваемые файлы. С помощью Open Whisper Systems планируется исправить этот недостаток. Вдобавок, шифрование распространят на другие платформы, помимо Android. К тому же, планируется внедрить функцию верификации ключей в клиенте.
WhatsApp — самое популярное приложение в мире для обмена сообщениями, поэтому внедрение надёжного шифрования можно только приветствовать.
Впрочем, избавиться от «дырявого» имиджа будет не так просто. Репутация WhatsApp уже сильно подмочена. Ещё два года назад выяснилось, что WhatsApp использует номер IMEI как пароль. Точнее, паролем являлся MD5-хеш вида md5(strrev(‘здесь-номер-imei’)). Нечего и говорить, что злоумышленник мог без особого труда получить значения логина и пароля для любого пользователя, просто нажав *#06# на его телефоне. Как вариант, можно было написать приложения под Android, которое будет собирать номера IMEI пользователей и пополнять базу данных. Вскоре уязвимость исправили.
Год спустя Тейс Алькемейд, студент-математик из университета Утрехта, нашёл ещё один способ расшифровки сообщений WhatsApp. Проблема в некорректной реализации криптографической схемы. Первая ошибка была в том, что WhatsApp использует один и тот же ключ RC4 для шифрования и входящих, и исходящих потоков, пишет Тейс Алькемейд. Аналогичная ошибка с повторным использованием одного и того же ключа аутентификации HMAC. Студент написал скрипт на Python, который перехватывал сообщения WhatsApp и пытался расшифровать входящие сообщения на основании предположения о содержании исходящих сообщений.
P.S. Изменить имидж WhatsApp должен помочь и тот факт, что сооснователь компании только что пожертвовал $1 млн в адрес FreeBSD Foundation.