- Рейтинг:
- 3721
- Сообщений:
- 11,152
- Пользователь:
- 128
- На сайте с:
- Дек 2004
11 Октября 2013, 15:54 | Оценка: нет оценки
Эксперт: Уязвимость в Whatsapp позволяет перехватывать сообщения пользователей
Специалист не связался с командой разработчиков мессенджера в первую очередь, поскольку уверен, что они не смогут оперативно устранить брешь.
Как сообщил голландский эксперт Тийс Алкемад (Thijs Alkemade), ему удалось обнаружить уязвимость в популярном мессенджере Whatsapp, которая позволяет перехватывать сообщения пользователей.
По словам эксперта, брешь существует в подсистеме криптографии и позволяет хакерам расшифровывать перехваченные сообщения. Уязвимость существует из-за того, что Whatsapp использует один и тот же ключ для шифрования входящих и исходящих потоков данных между приложением и сервером.
«RC4 - это генератор PRNG (pseudo-random number generator), создающий потоки байт, которые криптуются при помощи обычного текста в шифрованную последовательность. Криптование шифр-текста тем же потоком байт позволяет восстановить текст на сторонней системе путем сравнения зашифрованных данных», - отметил исследователь в своем блоге.
По словам Алкемада, шифрование входящих и исходящих потоков одним и тем же ключом позволяет без труда расшифровывать данные, которые можно перехватить даже через открытую WiFi-сеть. «Повторное использование отработанного ключа - это серьезная логическая ошибка в реализации программного кода Whatsapp. Эту ошибку допускали советские спецслужбы в 1950х годах и Мicrosoft в 1995 году в VPN-протоколе», - отмечает эксперт, который является создателем альтернативного сервиса обмена сообщениями для Mac OS X.
В подтверждение своей позиции разработчик создал эксплоит для бреши в Nokia Series 40 и Android, который способен перехватить сообщение и переслать его обратно таким образом, как будто пользователь получил ответ от сервера. Тем не менее, Алкемад уверен, что уязвимость присутствует также в версии мессенджера для iOS.
При этом эксперт отметил, что пока не сообщил об обнаруженной проблеме разработчикам Whatsapp, поскольку посчитал нужным сначала предупредить пользователей, а также уверен, что команда создателей мессенджера не сможет оперативно устранить ошибку.
Подробнее: www.security...s/445902.php
Специалист не связался с командой разработчиков мессенджера в первую очередь, поскольку уверен, что они не смогут оперативно устранить брешь.
Как сообщил голландский эксперт Тийс Алкемад (Thijs Alkemade), ему удалось обнаружить уязвимость в популярном мессенджере Whatsapp, которая позволяет перехватывать сообщения пользователей.
По словам эксперта, брешь существует в подсистеме криптографии и позволяет хакерам расшифровывать перехваченные сообщения. Уязвимость существует из-за того, что Whatsapp использует один и тот же ключ для шифрования входящих и исходящих потоков данных между приложением и сервером.
«RC4 - это генератор PRNG (pseudo-random number generator), создающий потоки байт, которые криптуются при помощи обычного текста в шифрованную последовательность. Криптование шифр-текста тем же потоком байт позволяет восстановить текст на сторонней системе путем сравнения зашифрованных данных», - отметил исследователь в своем блоге.
По словам Алкемада, шифрование входящих и исходящих потоков одним и тем же ключом позволяет без труда расшифровывать данные, которые можно перехватить даже через открытую WiFi-сеть. «Повторное использование отработанного ключа - это серьезная логическая ошибка в реализации программного кода Whatsapp. Эту ошибку допускали советские спецслужбы в 1950х годах и Мicrosoft в 1995 году в VPN-протоколе», - отмечает эксперт, который является создателем альтернативного сервиса обмена сообщениями для Mac OS X.
В подтверждение своей позиции разработчик создал эксплоит для бреши в Nokia Series 40 и Android, который способен перехватить сообщение и переслать его обратно таким образом, как будто пользователь получил ответ от сервера. Тем не менее, Алкемад уверен, что уязвимость присутствует также в версии мессенджера для iOS.
При этом эксперт отметил, что пока не сообщил об обнаруженной проблеме разработчикам Whatsapp, поскольку посчитал нужным сначала предупредить пользователей, а также уверен, что команда создателей мессенджера не сможет оперативно устранить ошибку.
Подробнее: www.security...s/445902.php
