Павел Дуров: об уязвимостях и бэкдорах WhatsApp Форум

Hermes

Hermes

Администратор
Павел Дуров:

В мае я предсказывал, что бэкдоры в WhatsApp будут продолжать обнаруживаться, и одна серьезная проблема безопасности последует за другой, как это было в прошлом (telegra.ph/Why-WhatsApp-Will-Never-Be-Secure-05-15). На этой неделе в WhatsApp был найден новый бэкдор (independent.co.uk/life-style/gadgets-and-tech/news/whatsapp-update-latest-spying-security-spyware-india-cert-nso-a9210236.html). Как и предыдущий, новый бэкдор сделал все данные на телефоне уязвимыми для хакеров и правительственных учреждений. Все, что нужно было сделать хакеру, это послать вам видео — и все ваши данные были на милость злоумышленника (in.mashable.com/tech/8573/whatsapp-android-and-ios-users-are-now-at-risk-from-malicious-video-files).

WhatsApp не только не защищает сообщения — это приложение постоянно используется в качестве троянского коня для шпионажа за фотографиями и сообщениями, не принадлежащими WhatsApp. Зачем им это делать? Facebook был частью программ наблюдения задолго до приобретения WhatsApp (theverge.com/2013/7/17/4517480/nsa-spying-prism-surveillance-cheat-sheet, usatoday.com/story/news/2013/06/06/nsa-surveillance-internet-companies/2398345/). Наивно думать, что компания изменит свою политику после приобретения, что стало еще более очевидно после признания учредителем WhatsApp факта продажи WhatsApp компании Facebook: «Я продал конфиденциальность моих пользователей» (mashable.com/article/brian-acton-whatsapp-interview/).

После обнаружения бэкдора на этой неделе, Facebook попытался запутать публику, утверждая, что у них нет доказательств того, что бэкдор был использован хакерами (techspot.com/news/82843-hackers-can-use-whatsapp-flaw-way-handles-video.html). Конечно, у них нет таких доказательств — чтобы получить их, они должны были бы иметь возможность анализировать видеоматериалы, распространяемые пользователями, но WhatsApp не хранит постоянно видео файлы на своих серверах (вместо этого он отправляет незашифрованные сообщения и медиаданные подавляющего большинства своих пользователей прямо на серверы Google и Apple (theinquirer.net/inquirer/news/3061660/whatsapp-is-storing-unencrypted-backup-data-on-google-drive). Так что — анализировать нечего — доказательств нет. Удобно.

Будьте уверены, уязвимость безопасности такого масштаба неизбежно будет использована — как и предыдущий бэкдор WhatsApp, который использовался против достаточно наивных правозащитников и журналистов, которые общались через WhatsApp (ft.com/content/67a5b442-f971-11e9-a354-36acbbb0d9b6, reuters.com/article/us-facebook-cyber-whatsapp-nsogroup-excl/exclusive-government-officials-around-the-globe-targeted-for-hacking-through-whatsapp-sources-idUSKBN1XA27H]). В сентябре стало известно, что данные, полученные в результате использования таких «черных ходов», будут предоставляться другим странам агентствами США (thetimes.co.uk/edition/news/police-can-access-suspects-facebook-and-whatsapp-messages-in-deal-with-us-q7lrfmchz, bloomberg.com/news/articles/2019-09-28/facebook-whatsapp-will-have-to-share-messages-with-u-k-police).

Несмотря на постоянно растущие доказательства, WhatsApp является популярным приложением среди людей, которые все еще доверяют Facebook. Возможно, WhatsApp просто случайно внедряет критические уязвимости безопасности во всех своих приложениях каждые несколько месяцев. Однако Телеграм, подобное по сложности приложение, не сталкивалось с проблемами на уровне WhatsApp в течение шести лет с момента своего запуска. Очень маловероятно, что кто-либо может случайно совершить серьезные ошибки безопасности, удобно подходящие для наблюдения на регулярной основе.

Независимо от намерений материнской компании WhatsApp, советы для ее конечных пользователей остаются неизменными: если вы не возражаете, что ваши фотографии и сообщения однажды станут общедоступными, вам следует удалить WhatsApp со своего телефона.
 
Domosedow

Domosedow

Участник
Это тема лишь зерно. Ведь каждое приложение на мобильных устройствах запрашивает излишки прав доступа.
Вспомним QIP аналог ICQ .
Чтобы узнать ip адрес жертвы достаточно было отправить картинку или любой файл жертве.
А подмена типа фаила, вообще позволяла моментально запустить троян, или удаленку на жертве.
Поэтому про ватцап я читаю спокойно. Я не агент и не гос служащий. Мои фото денег не стоят, иначе бы, я сам продавал их !
 
ahedron

ahedron

Участник
Начинаются минивоины Телеграм и WhatsAp., Дуров понял кто ему враг (конкурент).
 
NEX

NEX

Участник
Начинаются минивоины Телеграм и WhatsAp., Дуров понял кто ему враг (конкурент).
Он никогда не считал ватсап конкурентом, даже в открытую говорил, что ватсап намного хуже телеграма и переписки в ватсапе вообще не разу не анонимны по сравнению с его детищем.
 
Domosedow

Domosedow

Участник
NEX
Он никогда не считал ватсап конкурентом, даже в открытую говорил, что ватсап намного хуже телеграма и переписки в ватсапе вообще не разу не анонимны по сравнению с его детищем.
Согласен полностью, на интерьвью Дуров громко сказал что ватцап будет сосать. Телеграмм на порядок выше по защите переписке и передаваемой информации между пользователями!
Так что этот момент идет на пользу Тон и приложению Телеграмм.
Ожидаемо будет если это специально найдено и выдано обществу.

"это 100К смс"