forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в WhatsApp, позволяющая перехватывать чужие сообщ..."
Отправлено opennews, 13-Янв-17 18:46

В популярной системе обмена сообщениями WhatsApp выявлена (https://tobi.rocks/2017/01/whatsapp-vulnerability-bug-or-bac.../) уязвимость, которая позволяет (https://www.theguardian.com/technology/2017/jan/13/whatsapp-...) владельцу сервиса (Facebook) и другим заинтересованным спецслужбам перехватывать и прочитывать зашифрованные сообщения. Проблема вызвана тем тем, что сервис WhatsApp может принудительно сменить сгенерировать новые ключи для пользователей, которые в данным момент находятся вне сети (offline), без ведома отправителя и получателя сообщений.
Уязвимость рассматривается некоторыми исследователями безопасности как преднамеренный бэкдор -  Facebook был уведомлен о проблеме ещё в апреле прошлого года, но уязвимость до сих пор остаётся не исправлена.
Сокрытие проблемы и игнорирование выпуска исправления может стать серьёзным ударом по имиджу WhatsApp, учитывая то, что ранее Facebook заверял пользователей, что применяемое в WhatsApp end-to-end-шифрование исключает любые возможности перехвата сообщений, в том числе персоналом WhatsApp. Тем не менее аудит реализации протокола показал, что на деле компания Facebook имеет возможность чтения чужих сообщений, осуществив замену ключа.

Проблема не касается применяемого для организации связи протокола  Signal и связана конкретной особенностью механизма передачи сообщений пользователям в offline. Для end-to-end шифрования сообщений применяются уникальные ключи, которые подтверждены обоими участниками обмена сообщениями. От имени получателя, который в данный момент находится вне сети, может быть анонсирован новый публичный ключ, после чего механизм  доставки на стороне отправителя автоматически перекодирует этим новым ключом все сообщения, ожидающие отправки.

Таким образом отправленные сообщения будут зашифрованы не оригинальным ключом собеседника, а подставным ключом, который сгенерирует сервис. При этом собеседник не узнает о том, что адресованные ему сообщения ушли не туда, а отправитель получит уведомление о смене ключа только если явно выставит в настройках соответствующую опцию и то, уведомление будет выведено после отправки с новым ключом.  Примечательно, что оригинальная реализация протокола Signal вместо автоматической переотправки с новым ключом, блокирует доставку подобных сообщений и отправляет уведомление отправителю.
URL: https://www.theguardian.com/technology/2017/jan/13/whatsapp-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=45851

Исходное сообщение
"Уязвимость в WhatsApp, позволяющая перехватывать чужие сообщ..." Отправлено opennews, 13-Янв-17 18:46
В популярной системе обмена сообщениями WhatsApp выявлена (https://tobi.rocks/2017/01/whatsapp-vulnerability-bug-or-bac.../) уязвимость, которая позволяет (https://www.theguardian.com/technology/2017/jan/13/whatsapp-...) владельцу сервиса (Facebook) и другим заинтересованным спецслужбам перехватывать и прочитывать зашифрованные сообщения. Проблема вызвана тем тем, что сервис WhatsApp может принудительно сменить сгенерировать новые ключи для пользователей, которые в данным момент находятся вне сети (offline), без ведома отправителя и получателя сообщений. Уязвимость рассматривается некоторыми исследователями безопасности как преднамеренный бэкдор - Facebook был уведомлен о проблеме ещё в апреле прошлого года, но уязвимость до сих пор остаётся не исправлена. Сокрытие проблемы и игнорирование выпуска исправления может стать серьёзным ударом по имиджу WhatsApp, учитывая то, что ранее Facebook заверял пользователей, что применяемое в WhatsApp end-to-end-шифрование исключает любые возможности перехвата сообщений, в том числе персоналом WhatsApp. Тем не менее аудит реализации протокола показал, что на деле компания Facebook имеет возможность чтения чужих сообщений, осуществив замену ключа. Проблема не касается применяемого для организации связи протокола Signal и связана конкретной особенностью механизма передачи сообщений пользователям в offline. Для end-to-end шифрования сообщений применяются уникальные ключи, которые подтверждены обоими участниками обмена сообщениями. От имени получателя, который в данный момент находится вне сети, может быть анонсирован новый публичный ключ, после чего механизм доставки на стороне отправителя автоматически перекодирует этим новым ключом все сообщения, ожидающие отправки. Таким образом отправленные сообщения будут зашифрованы не оригинальным ключом собеседника, а подставным ключом, который сгенерирует сервис. При этом собеседник не узнает о том, что адресованные ему сообщения ушли не туда, а отправитель получит уведомление о смене ключа только если явно выставит в настройках соответствующую опцию и то, уведомление будет выведено после отправки с новым ключом. Примечательно, что оригинальная реализация протокола Signal вместо автоматической переотправки с новым ключом, блокирует доставку подобных сообщений и отправляет уведомление отправителю. URL: https://www.theguardian.com/technology/2017/jan/13/whatsapp-... Новость: https://www.opennet.ru/opennews/art.shtml?num=45851

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В популярной системе обмена сообщениями WhatsApp выявлена (https://tobi.rocks/2017/01/whatsapp-vulnerability-bug-or-backdoor/) 
> уязвимость, которая позволяет (https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages) 
> владельцу сервиса (Facebook) и другим заинтересованным спецслужбам перехватывать и прочитывать 
> зашифрованные сообщения. Проблема вызвана тем тем, что сервис WhatsApp может принудительно 
> сменить сгенерировать новые ключи для пользователей, которые в данным момент находятся 
> вне сети (offline), без ведома отправителя и получателя сообщений.

> Уязвимость рассматривается некоторыми исследователями безопасности как преднамеренный 
> бэкдор -  Facebook был уведомлен о проблеме ещё в апреле 
> прошлого года, но уязвимость до сих пор остаётся не исправлена.
> Сокрытие проблемы и игнорирование выпуска исправления может стать серьёзным ударом по имиджу 
> WhatsApp, учитывая то, что ранее Facebook заверял пользователей, что применяемое в 
> WhatsApp end-to-end-шифрование исключает любые возможности перехвата сообщений, в том 
> числе персоналом WhatsApp. Тем не менее аудит реализации протокола показал, что 
> на деле компания Facebook имеет возможность чтения чужих сообщений, осуществив замену 
> ключа.

> Проблема не касается применяемого для организации связи протокола  Signal и связана 
> конкретной особенностью механизма передачи сообщений пользователям в offline. Для end-to-end 
> шифрования сообщений применяются уникальные ключи, которые подтверждены обоими участниками 
> обмена сообщениями. От имени получателя, который в данный момент находится вне 
> сети, может быть анонсирован новый публичный ключ, после чего механизм  
> доставки на стороне отправителя автоматически перекодирует этим новым ключом все сообщения, 
> ожидающие отправки.

> Таким образом отправленные сообщения будут зашифрованы не оригинальным ключом собеседника, 
> а подставным ключом, который сгенерирует сервис. При этом собеседник не узнает 
> о том, что адресованные ему сообщения ушли не туда, а отправитель 
> получит уведомление о смене ключа только если явно выставит в настройках 
> соответствующую опцию и то, уведомление будет выведено после отправки с новым 
> ключом.  Примечательно, что оригинальная реализация протокола Signal вместо автоматической 
> переотправки с новым ключом, блокирует доставку подобных сообщений и отправляет уведомление 
> отправителю.

> URL: https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=45851

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру