Небезопасный WhatsApp

Image for post
Image for post

#hackandsecurity

Также читайте меня тут: и

Эта статья очень давно напрашивалась сама собой, после того, как я написал 2 части “мессенджеры параноика”:
1.
2. .

На сегодняшний день стоит признать один факт: WhatsApp в России один из самых популярных мессенджеров. Я убежден, что каждый читатель данного поста имеет или имел дело с данным мессенджером. Даже если вы “сверх-прошаренный юзер”, то наверняка с мамой, как минимум, вы общаетесь через вотсап. Я не исключение, тоже на постоянной основе его использую. Вы уже наверняка ждете какое-то “но” и оно действительно есть: WhatsApp — это, самый неоднозначный мессенджер в контексте безопасности и анонимности. Как по мне, если рассматривать самый худший мессенджер в контексте этих двух понятий, то вотсап — чемпион. Я не буду убеждать вас перестать им пользоваться, как недавно сделал Павел Дуров. Я просто покажу несколько фактов и вы уже сами сделаете выводы.

Для самых ленивых, посыл данной статьи можно описать одним предложением: если вы пользуетесь WhatsApp, то не нужно пересылать фото паспорта, номер банковской карты карты или CV код, пароли и другие конфиденциальные данные.

Ну а теперь давайте разбираться в деталях.

PS: статья написана только в образовательных целях.

Image for post
Image for post

Такого плана сайтов и объявлений в интернете можно найти крайне много. Не просто в гугле или яндексе, конечно, но найти можно. Конкретно данный сайт, скорее всего, мошеннический по причине низких цен (ну и, конечно, из-за своей деятельности). Реальные услуги на этом рынке стоят намного дороже.

К чему такое странное вступление? Дело в том, что на подобного рода сайтах или форумах нельзя встретить объявления по типу “взлом Signal, Wickr, Confide” или других мессенджеров. WhatsApp же там всегда на первом месте. О чем-то это наверное говорит.

Теперь давайте поговорим о “технических характеристиках”.

Степень централизации: централизованный;
Исходный код: закрытый;
Регистрация: отсутствие анонимной регистрации (привязка к номеру телефона);
Наличие E2E шифрования: есть, но на практике это не подтвердилось;
Групповые E2E чаты: есть, но на практике это не подтвердилось;
Синхронизация E2E чатов: есть;
Защита социального графа: отсутствует.

Самое важное тут — закрытый исходный код. В принципе, на этом можно было бы закончить и “наслаждаться” дальше появлением новых уязвимостей. Закрытый исходный код говорит нам о том, что проверить заявленные технические характеристики мессенджера невозможно. Так же, невозможно проверить и уязвимости, которые только появляются от обновления к обновлению и закрывать их можно только по факту, когда уже есть пострадавшие. Но помимо того, что исходный код вотсап закрыт, он еще и обфусцирован (код специально запутывают, чтобы еще больше усложнить анализ).

Если внимательно присмотреться ко всем багам WhatsApp за последние несколько лет, то становится очевидным, что все они несут функцию слежки за пользователями.

Приведем примеры.

Октябрь 2018
“Проблема была обнаружена исследователем безопасности Натали Сильванович (Natalie Silvanovich) из Google Project Zero в августе нынешнего года. Сильванович описала уязвимость как «ошибку повреждения памяти в реализации видеоконференции, не связанной с WebRTC». По словам исследователя, вызвать повреждение динамически распределяемой памяти (кучи)
путем отправки мобильному приложению WhatsApp особым образом сконфигурированного пакета RTP. То есть, уязвимость можно проэксплуатировать, заставив жертву ответить на видеозвонок.
Источник:

Август 2019
“Эксперты из компании Check Point Research, занимающейся вопросами кибербезопасности, три уязвимости в мессенджере WhatsApp. По словам экспертов, эксплуатация уязвимостей позволяет злоумышленнику перехватывать и манипулировать сообщениями в личных и групповых чатах. Таким образом преступник может создавать и распространять ложную информацию.”
Источник:

Ноябрь 2019
“Не привлекая лишнего внимания, компания Facebook уязвимость в популярном мессенджере WhatsApp, предоставлявшую возможность удаленно скомпрометировать целевое устройство и похитить хранящуюся на нем защищенную информацию. Проблема, получившая идентификатор CVE-2019–11931, представляет собой уязвимость переполнения буфера, связанную с реализованным в предыдущих версиях WhatsApp механизмом парсинга потока метаданных MP4 файла, что могло привести к возможности вызова сбоя в работе или удаленного выполнения кода. Проэксплуатировать проблему достаточно просто. Для этого злоумышленнику потребуется выяснить номер телефона жертвы и отправить ей по WhatsApp специально сформированнный файл в формате MP4, который может быть использован для незаметной установки бэкдора или шпионского ПО на устройство.”
Источник:

Октябрь 2019
“Исследователь безопасности под псевдонимом Awakened в популярном мессенджере WhatsApp уязвимость, позволяющую злоумышленникам получать доступ к файлам и сообщениям жертвы с помощью вредоносного GIF-изображения. Проблема представляет собой уязвимость двойного высвобождения памяти (double-free) — аномалии повреждения памяти, способной вызвать аварийное завершение работы приложение или, еще хуже, предоставить злоумышленнику «лазейку» к содержимому устройства. Все что нужно для осуществления атаки — создать вредоносный GIF-файл, отправить его жертве и дождаться, пока она его откроет в галерее WhatsApp.”
Источник:

Список я могу продолжать долго. Это относительно последние и громкие “дырки”. Как видите, некоторые появляются воообще раз в месяц. Это при том, что пользователей WhatsApp по всему миру около 1,5 млрд человек. Ну и сомнений нет в том, что тестировщики на протяжении 10 лет существования компании не могли ничего не замечать.

У меня, как у особого параноика, иногда возникает ощущение, что вотсап вообще придумывался изначально как некая платформа для разных вариаций получения доступа к устройству пользователя (кто-то особенно агрессивный вообще называет приложение трояном). Иначе объяснить такую халатность со стороны разработчиков сложно. Да и все факты говорят сами за себя. Все уязвимости можно отнести к типу “отслеживающих”. Специалисты склоняются к тому, что это все очень похоже на бэкдоры.

Хочется еще в этом блоке сказать пару слов о шифровании. На данный момент в вотсап реализовано сквозное шифрование, но ключ для расшифровки сообщений был доступен нескольким странам, включая Россию (уверен, что и сейчас дела обстоят точно так же). Так же был момент, когда они активно агитировали своих пользователей сделать копию чатов для переноса их в облако. Многие так и поступили, но ни кто не сказал, что в облаке шифрования не было и эти данные напрямую могли попасть кому угодно. В общем переписка, метаданные, логи, одним словом — ВСЕ утекало третьим лицам на постоянной основе не один год.

Ну и на закуску. В 2011–2012 гг доступ к переписки могли получить мобильные операторы и администраторы любых Wi-Fi точек. Потом внедрили стандартное шифрование, но ключи отдали правительствам некоторых стран, как я уже написал выше. Потом в 2016г внедрили сквозное шифрование, но и это не помогает, так как мы все видим постоянные новые уязвимости.

Яблоко от яблони

Image for post
Image for post

В феврале 2014 года Facebook купил WhatsApp. Все мы знаем про постоянные утечки данных Facebook, поэтому приватность WhatsApp сто процентно не улучшилась. Это доказывает тот факт, что в 2017 году сооснователь WhatsApp Брайан Эктон, а в 2018 году и Ян Борисович Кум, покинули компанию по причине сомнений в приватности данных пользователей. Далее разгорелся скандал, в котором Эктон призвал всех удалить приложение Facebook. Подробнее об этом можно почитать в интернете.

В общем факт в том, что продажа вотсап фейсбуку явно не пошла на пользу первому. Репутация Facebook подпорчена давно и исправить ее уже не предоставляется возможным.

Давайте подытожим. Из тех данных, что сейчас есть у исследователей уязвимостей, сложилось представление о том, что WhatsApp никогда не сможет стать безопасным приложением по нескольким причинам.

  1. Закрытый исходный код (и так же обфусцированный) не позволяет проверить заявленные технические характеристики приложения.
  2. Постоянно появляющиеся новые уязвимости все сводятся в одну группу — получение контроля над устройством пользователя, либо для слежки.
  3. “Сотрудничество” и синхронизация данных с Facebook ухудшает ситуацию из-за ненадежности политики конфиденциальности Facebook.
  4. Ну и последнее — руководство WhatsApp спокойно идет на контакт с любым правительством если есть запрос и Россия не исключение. А даже если это и не так, то услуги на рынке взлома мессенджеров и соц.сетей сегодня очень востребованы, к сожалению.

Поэтому вывод из всего стоит сделать очень простой. Пользоваться вотсап можно в бытовых целях, но явно не стоит использовать его для какой-то конфиденциальной переписки или пересылки важных данных или документов.

Также читайте меня тут: и

Written by

Investigations, OSINT, cybersecurity, profiling, self defense.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store